Au sein de l’UE, les autorités de protection de données ont parfois des approches différentes sur le sujet. Certains commentaires, trop frileux, continuent à circuler. Pourtant, la Commission européenne avait sifflé la fin de la récréation dès 2020, s’opposant à une interprétation restrictive qui part de l’idée que l’intérêt légitime ne peut jamais être lié à une finalité commerciale. Il est temps de relire l’analyse de l’exécutif européen et cesser de gloser inutilement.
C’est l’autorité des Pays-Bas qui avait fait les frais de ce recadrage.
La Commission européenne attirait d’abord l’attention sur l’arrêt C-13/16, Rigas satiksme, dans lequel la CJUE rappelait, au sujet de la directive 95/46/CE, que l’intérêt légitime consiste en un test en trois parties (elle a depuis lors ocnfirmé l’approche sous l’empire du RGPD) :
- l’établissement de l’existence d’un intérêt légitime à l’origine du traitement,
- l’évaluation de la nécessité du traitement en question, et
- la mise en balance afin d’établir si l’intérêt légitime du responsable du traitement l’emporte sur les droits et libertés fondamentaux de la personne concernée.
Pour la Commission, chaque élément est indépendant des autres et nécessite d’appliquer ses propres critères.
Concernant « l’intérêt légitime »
Dans Rigas satiksme, la CJUE a considéré que l’intérêt économique est légitime (en l’occurrence l’intérêt d’un tiers à obtenir les informations personnelles d’une personne qui a endommagé sa propriété afin de la poursuivre en dommages et intérêts).