Le quotidien néerlandais NRC Handelsblad a dévoilé, le 3 juillet 2022, les communications ayant pris place entre la Commission européenne et l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) ces derniers mois au sujet de l’interprétation de cette dernière de la base légale de l’intérêt légitime. La Commission considère ainsi que l’autorité de protection néerlandaise a mal interprété le RGPD ainsi que les différentes jurisprudences relatives aux bases légales de traitement en adoptant une position trop stricte sur l’intérêt légitime. En réponse, le président de l’autorité Aleid Wolfsen a refusé de revenir sur la position de l’autorité qu’il considère comme alignée avec l’esprit du RGPD et les différentes décisions des juridictions européennes.
L’intérêt légitime : une base légale controversée
Afin de mieux comprendre les détails ainsi que les enjeux des tensions présentées ci-dessus, il est nécessaire dans un premier temps de revenir sur le concept de base légale, ainsi que l’une d’entre elles, historiquement controversée : l’intérêt légitime.
Tout traitement de données à caractère personnel (à commencer par leur collecte) n’est légal que s’il repose sur l’une des 6 bases légales définies par le RGPD : le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, les missions d’intérêt public, le consentement, et l’intérêt légitime. Chacune d’entre elles est définie dans l’article 6 du RGPD, qui en précise également les conditions d’application. Voici la définition associée à la base légale de l’intérêt légitime.
RGPD article 6 f) : “Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel […].”
Les controverses entourant cette base légale proviennent de son caractère inhéremment subjectif, au contraire typiquement du consentement, dont les conditions d’implémentation sont considérées comme bien plus objectives, et donc sécurisantes.
En effet, l’acceptabilité ou non de la base légale de l’intérêt légitime est examinée par un triple test :
- Premièrement, les intérêts liés au traitement doivent être légitimes. Ces intérêts peuvent être divers, tels que le développement d’une clientèle, la sécurisation de l’accès physique aux bureaux d’une entreprise etc. Un intérêt non-légitime de ce point de vue serait typiquement un intérêt non-acceptable du point de vue de la loi.
- Deuxièmement, le traitement de données à caractère personnel doit être strictement nécessaire aux fins de ces intérêts légitimes. Cela veut dire concrètement que toute possibilité de traitement qui serait jugée moins intrusive pour la personne concernée invalide instantanément le recours à la base légale de l’intérêt légitime.
- Le troisième composant du triple test est le plus crucial. Les intérêts ou les libertés et droits fondamentaux de la personne concernée ne doivent pas prévaloir sur les intérêts légitimes ainsi définis. Une telle mise en balance implique l’examen de différents paramètres, dont la force de l’intérêt légitime, le caractère plus ou moins crucial des droits fondamentaux de la personne concernée, l’impact positif ou négatif entraîné par le traitement sur la personne concernée, les risques entraînés par le traitement, et enfin la nature des données concernées.
L’évaluation de chacun des critères présentés ci-dessus, de la force de la légitimité des intérêts de l’organisation, des droits des personnes, des risques entraînés, de l’impact du traitement, est systématiquement sujette à interprétation et fondamentalement subjective. Ce qui explique les controverses entourant depuis plusieurs années déjà le périmètre exact de l’intérêt légitime largement utilisé comme base légale pour un traitement de données à caractère personnel.
L’interprétation stricte de l’autorité de protection des données néerlandaise
L’autorité de protection des données néerlandaise a choisi d’adopter une interprétation jugée particulièrement stricte du concept d’intérêt légitime. Une telle position est illustrée très clairement dans sa décision VoetbalTV du 3 juillet 2020. L’autorité néerlandaise reprochait plus spécifiquement à VoetbalTV de permettre le visionnage de séquences vidéos professionnelles de matchs amateurs sur sa plateforme sans disposer d’aucune base légale pour le traitement de données personnelles impliqué par cette activité.
VoetbalTV a alors avancé l’intérêt légitime du traitement pour la défense de ses intérêts commerciaux ; ce à quoi l’autorité néerlandaise de protection des données a répondu en adoptant une position restrictive sur la portée de l’intérêt légitime, en affirmant que les intérêts purement commerciaux ne peuvent jamais constituer un intérêt légitime pouvant servir de base juridique aux activités de traitement des données en vertu du RGPD.
Les objections de la Commission et le nécessaire équilibre entre droits fondamentaux
Les communications entre la Commission et l’autorité néerlandaise de protection des données font très clairement ressortir les différentes objections de la Commission vis-à-vis de la position actuelle de l’autorité.
La Commission européenne reproche premièrement à l’interprétation de l’Autoriteit Persoonsgegevens d’entrer en contradiction avec le triple test issu de la jurisprudence de la Cour de justice de l’Union Européenne (CJUE), qui doit être appliquée pour déterminer s’il existe un intérêt légitime qui l’emporte sur les droits et libertés des personnes concernées.
- Premièrement, il est relevé que l’autorité néerlandaise s’arrête dès le premier test en affirmant qu’aucun intérêt légitime n’existe, sans même considérer les deux autres tests qui doivent pourtant être considérés de manière séparée.
- Deuxièmement, la Commission rappelle que le concept d’intérêt légitime doit être considéré de manière large, et que les considérants du RPGP indiquent clairement que certains intérêts purement commerciaux peuvent être considérés comme des intérêts légitimes, comme le marketing direct.
Mais au-delà même des arguments purement juridiques, la position adoptée par la Commission dénote d’un sous-texte particulièrement intéressant en termes de politique juridique.
L’interprétation toujours plus stricte du RGPD semble constituer aujourd’hui une tendance de fond parmi certaines autorités européennes de protection des données.
L’approche proactive de la Commission rappelle cependant qu’un équilibre doit être trouvé entre d’une part un haut niveau de protection des données permettant d’assurer la protection du droit fondamental à la vie privée des citoyens européens d’une part avec également d’autre part les enjeux économiques européens liés à la protection d’un autre droit également fondamental, celui de la liberté d’entreprise.
Les conséquences néfastes d’un déséquilibre dans cette nécessaire mise en balance par l’adoption de positions tranchées comme celle de l’autorité néerlandaise a d’ailleurs pu être mise en évidence par les effets de la décision que nous avons étudiée plus haut : la société VoetbalTV mise en cause a fait faillite en raison de la longue enquête et de l’amende imposée par l’Autoriteit Persoonsgegevens.
En réaction à de telles évolutions, la Commission européenne semble ainsi déterminée à rappeler que l’objectif du RGPD est d’assurer un haut niveau de protection des données tout en permettant le bon fonctionnement du système économique européen dans son ensemble. Les réglementations européennes ne peuvent être considérées de manière isolée et segmentée, mais comme faisant partie intégrante d’un équilibre parfois délicat entre différents systèmes politico-juridiques en interaction constante.
Et maintenant ?
L’autorité néerlandaise de protection des données ne semble cependant pas prête à infléchir sa position, son président Aleid Wolfsen affirme que l’interprétation de l’autorité découle logiquement de la jurisprudence actuelle de la Cour de Justice de l’Union Européenne. Le président souligne le fait que l’autorité néerlandaise de protection des données est un organisme indépendant et que l’interprétation de l’intérêt légitime fait toujours l’objet de discussions avec d’autres autorités de protection des données et au sein de l’EDPB.
Une telle réaction soulève une autre problématique, qui est celle des interprétations divergentes du RGPD par les différentes autorités de protection des données en Europe, à partir d’un texte pourtant unique puisqu’il s’agit d’un règlement à l’application directe dans les ordres juridiques nationaux. Une position uniforme et cohérente sur l’épineuse question de l’intérêt légitime serait souhaitable du point de vue de la sécurité juridique des organisations européennes. On peut espérer que l’intervention de la Commission oriente les discussions vers une position équilibrée mettant en balance les différents enjeux et droits fondamentaux qu’elles impliquent.