Consentement ou intérêt légitime : qu’est-ce que ça veut dire exactement ? Lequel choisir ?
Il n’existe pas une seule réponse, même si de nombreuses autorités de protection des données à travers l’Europe ont réduit l’utilisation de l’intérêt légitime.
D’abord, voyons pourquoi il est nécessaire de choisir entre le consentement et l’intérêt légitime.
Le consentement et l’intérêt légitime sont deux des six bases juridiques du RGPD.
En vertu du RGPD, pour entreprendre le traitement des données personnelles de vos utilisateurs, vous avez besoin d’une base juridique, c’est-à-dire une raison légale qui valide cette activité. Pour que votre activité de traitement soit légale, elle doit être nécessaire à des fins particulières. Si vous pouvez atteindre ces objectifs sans traiter aucune donnée, ou en traitant le moins de données possible, alors le traitement doit être évité et vous n’avez pas besoin de base juridique.
Maintenant, voyons ce que le consentement et l’intérêt légitime signifient.
La définition de consentement est plutôt claire : vos utilisateurs vous donnent la permission d’entreprendre la collecte et l’utilisation de leurs données personnelles.
Cependant, pour que le consentement soit valide, il doit respecter un certain nombre de critères spécifiques. Comme le mentionne le RGPD, le consentement doit être libre, spécifique, éclairé et univoque.
Cela signifie que, avant de commencer le traitement sur la base du consentement, vous devez vous assurer que vos utilisateurs ont bien été informés de votre activité et qu’ils l’ont librement acceptée. Cela veut dire également que le mécanisme permettant de collecter le consentement doit comprendre un acte positif clair effectué par l’utilisateur (ex. les cases pré-cochées dans vos formulaires ne sont pas admises). Il est aussi important de fournir aux utilisateurs un moyen de retirer leur consentement à n’importe quel moment.
Pour en savoir plus sur le consentement et le RGPD, par ici.
L’ICO au Royaume-Uni définit l’intérêt légitime comme la base juridique la plus souple. En effet, le traitement sur la base de l’intérêt légitime ne nécessite pas de finalité spécifique ni du consentement des utilisateurs. La finalité du traitement est l’intérêt légitime du responsable du traitement des données (ex. le propriétaire d’un site web ou d’une application) ou d’un tiers.
Étant donné que l’intérêt légitime peut s’appliquer à un grand nombre de situations, vous devez redoubler de prudence lorsque vous évaluez si vos intérêts sont raisonnables par rapport aux droits et libertés de vos utilisateurs.
Pour cette raison, l’ICO suggère d’effectuer un test en trois parties pour évaluer si l’intéret légitime peut s’appliquer :
Comme l’intérêt légitime n’a pas de finalité spécifique, vous devez être encore plus transparent avec vos utilisateurs et expliquer quels sont les intérêts légitimes du traitement.
Tout dépend de la manière dont vous allez utiliser les données que vous collectez et à quel point le traitement atteint leur vie privée.
D’après l’ICO, vous pouvez recourir à l’intérêt légitime lorsque :
Cependant, il existe des cas où l’intérêt légitime n’est pas autorisé. Par exemple, de nombreuses autorités de protection des données, telles que le Garante italien, ont publié de nouvelles lignes directrices sur l’usage de cookies et ont interdit de manière explicite l’intérêt légitime comme base juridique valide pour les cookies de profilage.
En général, le consentement est souvent le choix le plus sûr. S’appuyer sur une mauvaise base juridique pourrait rendre votre activité non valide et vous exposer à de graves conséquences. Il est donc toujours préférable de jouer la carte de la sécurité !
Après avoir déterminé votre base juridique, vous êtes prêt pour passer à l’étape suivante (qui est fondamentale !).
