Intérêt légitime, quand et comment s’appuyer sur le traitement licite des données personnelles : le « triple test »

Le Garant de la protection des données personnelles, avec une très récente mesure d’urgence contre TikTok. accepté a averti la plateforme que il est illégal d’utiliser les données personnelles stockées sur les appareils des utilisateurs pour les profiler et leur envoyer des publicités personnalisées, basées sur les “intérêts légitimes” non spécifiés de TikTok et de ses partenaires.

La disposition soulève de nombreuses préoccupations intéressantes, notamment la référence aux évaluations spécifiques que le titulaire doit effectuer pour invoquer l’intérêt légitime en tant que base juridique, en relation avec le soi-disant “triple critère” tel qu’énoncé par la Cour de justice de l’Union européenne dans l’arrêt C 13/16 Rīgas satiksmea.

Jetons un coup d’œil à la phrase et au “triple test”.

Garantie de confidentialité pour TikTok, “arrêtez les publicités personnalisées”: c’est pourquoi

L’arrêt de la Cour de justice de l’UE

En décembre 2012 (directive 95/46/CE en vigueur), un accident de la route s’est produit à Riga, la capitale de la Lettonie. Un chauffeur de taxi avait garé sa voiture sur le bord de la route. Alors qu’un trolleybus Rīgas satiksme dépassait le taxi, le passager mineur assis sur le siège arrière du taxi a ouvert la porte et a heurté le trolleybus, l’endommageant.

Certifications AVG : tous les avantages pour les organisations qui les rejoignent

Cet incident a entraîné l’ouverture de la procédure administrative d’infraction et la notification associée.

Estimant que l’accident susmentionné était imputable au chauffeur de taxi, Rīgas satiksme a initialement réclamé une indemnisation à la société par laquelle le propriétaire ou l’utilisateur légitime du taxi en question était assuré en responsabilité civile.

Or, cette compagnie d’assurances avait informé Rīgas satiksme qu’elle ne verserait aucune indemnité puisque l’accident avait été causé par le passager et non par le chauffeur de taxi. Elle a également indiqué que Rīgas satiksme aurait pu intenter une action civile contre ce passager. Rīgas satiksme s’est alors tourné vers la police nationale, qui leur a demandé :

  1. pour vous fournir des informations sur la personne à l’encontre de laquelle la sanction administrative pour l’accident a été prononcée ;
  2. de vous envoyer une copie des déclarations du chauffeur de taxi et du passager sur les circonstances de l’accident ;
  3. fournir le nom, le prénom, le numéro de pièce d’identité et le lieu de résidence du passager du taxi.

A cette occasion, Rīgas satiksme avait fait savoir à la police nationale que les informations demandées ne seraient utilisées que dans le cadre d’une procédure civile.

La police nationale n’avait que partiellement accédé à la demande de Rīgas satiksme en lui donnant le nom et le prénom de la passagère, mais avait refusé de fournir le numéro d’identification et l’adresse de cette personne.

Des copies des déclarations des personnes impliquées dans l’incident n’avaient même pas été envoyées, car il n’y avait aucun intérêt légitime de Rīgas satiksme au regard des lois de l’Union européenne et nationales sur la protection de la vie privée à recevoir la communication des informations demandées, y compris celles prises à l’époque. de l’accident, le passager du taxi dont Rīgas voulait obtenir les données satiksme était mineur.

Après le développement d’un litige, l’affaire a été renvoyée devant la CJUE, qui a estimé que pour reconnaître l’existence d’un intérêt légitime qui rend licite le traitement de données à caractère personnel, comme, par exemple, la réception de la communication de données à caractère personnel, l’article 7, lettre f ) de la directive 95/46 abrogée [che ricalca l’art. 6, paragrafo 1, lettera f) del GDPR]il prédit trois conditions cumulativesce qui signifie:

  1. poursuivre l’intérêt légitime du responsable du traitement ou du ou des tiers auxquels les données sont fournies ;
  2. la nécessité de traiter des données personnelles pour la poursuite d’un intérêt légitime ;
  3. la condition que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas.

Le “triple critère” pour invoquer l’intérêt légitime comme base juridique

La vérification de ces trois conditions constitue le “triple critère” auquel le Garant se réfère dans sa disposition.

Poursuivre l’intérêt légitime du propriétaire ou de tiers

Le premier test à effectuer est de vérifier l’existence réelle d’un intérêt légitime du propriétaire ou des tiers qui doit être rendu explicite.

En effet, une indication opérationnelle est fournie par l’arrêt de la CJUE, qui énonce, par exemple, qu’il ne fait aucun doute que l’intérêt d’un tiers à obtenir les données personnelles d’une personne qui a endommagé ses biens, à agir à son encontre personne d’obtenir une indemnisation constitue un intérêt légitime.

Cette analyse est corroborée par l’article 8, paragraphe 2, point e), de la directive 95/46 abrogée [conforme all’attuale art. 9, paragrafo 2, lettere e) ed f) del GDPR]stipulant que l’interdiction du traitement de certaines catégories de données à caractère personnel, telles que les données révélant l’origine raciale ou les opinions politiques, ne s’applique pas si le traitement porte sur des données clairement divulguées par la personne concernée ou est nécessaire pour établir, exercer ou défendre un droit devant les tribunaux.

Pour effectuer ce premier test, il est possible d’utiliser la première partie du modèle LIA (Legimate Interests Assessment) mis à disposition par l’ICO, l’autorité de contrôle britannique, sur son site institutionnel et présenté ci-dessous.

Il est nécessaire d’évaluer s’il existe un intérêt légitime derrière le traitement.

    1. Pourquoi voulez-vous traiter les données ?
    2. Quels bénéfices attendez-vous du traitement ?
    3. Des tiers bénéficient-ils du traitement ?
    4. Y a-t-il des avantages publics plus larges au traitement ?
    5. Quelle est l’importance des avantages que vous avez identifiés ?
    6. Quel serait l’impact si vous n’étiez pas en mesure de poursuivre le traitement ?
    7. Respectez-vous les règles spécifiques de protection des données qui s’appliquent à votre traitement (par exemple, les exigences de profilage ou la législation sur la confidentialité électronique) ?
    8. Respectez-vous les autres lois pertinentes ?
    9. Respectez-vous les directives ou les codes de conduite de l’industrie ?
    10. Existe-t-il d’autres problèmes éthiques liés au traitement ?

Le besoin de traitement

Le deuxième critère concerne la condition relative à la nécessité du traitement des données. A cet effet, il convient de rappeler que les exceptions à la protection des données personnelles et ses limitations doivent être faites dans les limites du strict nécessaire.

Par exemple, s’agissant de la question qui fait l’objet de l’arrêt en cause, il convient de noter que la communication du nom et prénom de l’auteur du dommage ne permet pas à elle seule d’identifier l’auteur de manière suffisamment précise manière à permettre une action en justice à son encontre.

Il apparaît donc nécessaire d’obtenir l’adresse et/ou le numéro d’identification de cette personne.

Ci-dessous, la deuxième partie du modèle LIA mis à disposition par ICO, utile pour mener à bien ce second test.

Vous devez évaluer si le traitement est nécessaire à la finalité que vous avez indiquée.

    1. Ce traitement vous aidera-t-il vraiment à atteindre votre objectif ?
    2. Le traitement est-il proportionné à cette finalité ?
    3. Est-il possible d’atteindre le même objectif sans traitement ?
    4. Est-il possible d’atteindre le même objectif en traitant moins de données ou en traitant les données d’une manière différente, plus évidente ou moins intrusive ?

La mise en balance des droits et intérêts par rapport à l’intérêt légitime

Enfin, le troisième test concerne la condition de mise en balance des droits et intérêts versus l’intérêt légitime. En principe, cette pondération dépend des circonstances spécifiques du cas spécifique.

Il est à noter que l’âge de la personne concernée peut être l’un des éléments à prendre en compte dans cette pondération. Ce n’est pas un hasard si l’art. 6 alinéa 1 lettre f) du RGPD, lors de l’imposition de l’obligation d’effectuer une test d’équilibre entre l’intérêt légitime et les libertés et droits fondamentaux des personnes concernées, recommande une attention particulière si la personne concernée est mineure.

Cependant, dans l’arrêt pertinent de la CJUE, il est également jugé que dans l’affaire susmentionnée, il ne semble pas justifié de refuser de fournir à une personne lésée les données à caractère personnel nécessaires pour introduire une action en responsabilité contre la personne à l’origine du dommage ou alors .. nécessaire contre les personnes exerçant l’autorité parentale si l’auteur est mineur.

Vous trouverez ci-dessous la troisième partie du modèle, utile pour exécuter le troisième test.

Vous devez tenir compte de l’impact sur les intérêts, les droits et les libertés des personnes et évaluer si cela l’emporte sur vos intérêts légitimes.

Nature des données personnelles

    1. Ils sont donnés sur la base de l’art. 9 ou 10 RGPD ?
    2. S’agit-il des données que les gens sont susceptibles de considérer comme particulièrement « privées » ?
    3. Traitez-vous des données de mineurs ou d’autres personnes vulnérables ?
    4. Les données sur les individus se rapportent-elles à leur capacité personnelle ou professionnelle ?

Attentes raisonnables

    1. Avez-vous déjà une relation existante avec la personne?
    2. Quelle est la nature de la relation et comment avez-vous utilisé les données dans le passé ?
    3. Avez-vous collecté les données directement auprès de la personne ? Que lui avez-vous dit à ce moment-là ?
    4. Si vous avez obtenu les données d’un tiers, qu’ont-ils dit aux gens sur la réutilisation du tiers à d’autres fins et est-ce vrai pour vous ?
    5. Depuis combien de temps avez-vous collecté les données ? Y a-t-il eu des changements dans la technologie ou le contexte depuis lors qui pourraient affecter les attentes ?
    6. L’objectif et la méthode prévus sont-ils généralement compris ?
    7. Allez-vous faire quelque chose de nouveau ou d’innovant?
    8. Avez-vous des preuves d’attentes, telles que des études de marché, des groupes de discussion ou d’autres formes de consultation ?
    9. Y a-t-il d’autres facteurs dans les circonstances spécifiques qui indiquent qu’ils devraient ou ne devraient pas s’attendre à un traitement ?

Incidence possible

    1. Quels sont les effets possibles du traitement sur l’homme ?
    2. Les gens perdront-ils le contrôle sur l’utilisation de leurs données personnelles ?
    3. Quelle est la probabilité et la gravité d’un éventuel impact ?
    4. Y a-t-il des personnes qui s’opposent au traitement ou le trouvent intrusif ?
    5. Aimeriez-vous expliquer le traitement aux gens?
    6. Des précautions peuvent-elles être prises pour minimiser l’impact ?

pouvez-vous autoriser les individus à se retirer ?

Utilisation des résultats du “triple test”

Si le résultat du “triple test” est positif, le propriétaire peut invoquer l’intérêt légitime comme base juridique du traitement.

Cependant, il doit également s’assurer que ce résultat est inclus dans les informations relatives telles que requises par l’art. 13, paragraphe 1, lettre d) et par l’art. 14, paragraphe 2, lettre b) du GDPR.

Ainsi, lors de la conception d’un processus métier pour la gestion d’un système de vidéosurveillance basé sur l’intérêt légitime, le même propriétaire doit insérer le document avec les évaluations liées à l’exécution du “triple test” dans le “Informations de deuxième niveau”à placer sur le site Web ou sur le portail et lié à un code QR ou à une adresse Web affiché sur la signalisation prescrite contenant le “informations de premier niveau“.

REMARQUE

Travail à distance : défis, technologies et réussites

Ressources Humaines / Organisation

@TOUS LES DROITS SONT RÉSERVÉS

Leave a Comment