L’intérêt légitime du responsable d’un traitement de données personnelles peut être commercial, mais sous conditions

Note sous CJUE, 9^e ch., 4 octobre 2024, Koninklijke Nederlandse Lawn Tennisbond c./ Autoriteit Persoonsgegevens, n° C-621/22.

« La vie privée peut aussi être surprise au moyen d’une filature. Il faut donc admettre qu’une personne a le droit de s’opposer à une investigation dans sa vie privée, quel que soit le mode de cette investigation. Il n’en serait autrement que si celle-ci était justifiée par un motif légitime. » C’est en ces termes que Pierre Kayser, professeur à Aix-Marseille Université, résumait l’une des expressions les plus importantes du droit au respect de la vie privée, entendue dans son volet « défensif »¹.

L’idée sera également formalisée par la Cour européenne des droits de l’homme à travers l’« espérance légitime » de toute personne à voir sa vie privée préservée de toute intrusion, immixtion et publication². La portée de cette espérance est d’autant plus sensible que les moyens de filature se sont désormais multipliés, substituant à l’« opacité naturelle » de la vie privée une « transparence » exclusive de tout secret³. Ainsi en est-il de tous les procédés, numériques ou physiques, qui permettent de collecter et traiter des données personnelles à grande échelle, y compris sans que s’en aperçoivent les personnes auxquelles elles sont attachées. Si l’existence d’un « motif légitime » ne saurait être complètement écartée, il importe pour autant d’en délimiter le sens et la portée.

C’est de ce sujet qu’a été saisie la Cour de justice de l’Union européenne, à propos de l’une des bases de licéité d’un traitement de données les plus controversées qui soit en matière commerciale, à savoir l’intérêt légitime du responsable de traitement ou d’un tiers visé à l’article 6 1. f) du règlement général relatif à la protection des données (RGPD)⁴. L’arrêt ainsi rendu le 4 octobre 2024, dans l’affaire n° C-621/22⁵, apporte un éclairage édifiant à cette notion et contribue à en faire une base de traitement exceptionnelle.

La filature commerciale, intérêt légitime du responsable de traitement ?

Les faits prennent leur source dans une pratique extrêmement répandue, reposant sur la revente de données personnelles et que l’on peut aisément qualifier de « filature commerciale ».

En l’espèce, les données en cause étaient celles détenues par une fédération sportive, l’Association royale néerlandaise de tennis, dont sont automatiquement membres toutes les personnes ayant adhéré à l’une des associations qui lui sont affiliées. Les données faisaient donc déjà l’objet d’un double niveau de traitement, local et national, ce dont on peut présumer que les personnes étaient informées. Cependant, elles avaient aussi fait l’objet d’une cession à titre onéreux à deux sponsors de la fédération, l’un spécialisé dans la vente de matériel de sport, et l’autre fournissant des jeux de hasard et de casino, à des fins de démarchage postal et téléphonique. Les noms, dates de naissance, adresses physique et électronique, numéros de téléphone ainsi que les clubs d’affiliation faisaient partie des données cédées, les personnes concernées n’ayant nullement été informées de cette cession et encore moins sollicitées pour recueillir leur consentement. Cette opération constitue assurément une filature commerciale au sens où nous l’avons entendu plus haut : elle procède d’une investigation permettant à des opérateurs commerciaux d’entrer en contact avec de potentiels clients, sur la base d’informations transmises à leur insu par d’autres opérateurs. Le fait que ces pratiques soient répandues ne doit pas faire perdre de vue l’immixtion qu’elles réalisent dans la vie privée.

À la suite des plaintes de plusieurs de ses membres, la fédération a été sanctionnée d’une amende de 525 000 euros par l’autorité néerlandaise chargée de la protection des données, qui estimait que le traitement de données avait été réalisé au mépris du consentement des membres et n’était justifié par aucun motif légitime. Contestant cette interprétation, la fédération a saisi le tribunal d’Amsterdam, en faisant valoir l’existence d’un intérêt légitime fondant la cession des données, à savoir « le fait de créer un lien fort entre cette association et ses membres et, d’autre part, à pouvoir offrir une valeur ajoutée à l’adhésion de ceux-ci sous la forme de réductions et d’offres chez des partenaires permettant à ces membres de pratiquer le tennis à un prix abordable et accessible ». Le sens de cette notion étant au cœur du litige, le tribunal décida de surseoir à statuer et de poser plusieurs questions préjudicielles à la Cour de justice. Celle-ci apporte une réponse globale permettant de dessiner la nature et le régime de cette base de licéité.

Si l’intérêt légitime du responsable de traitement ou d’un tiers n’a pas à être prévu par une loi, il ne peut néanmoins être invoqué que dans le respect des standards propres à garantir le respect des droits fondamentaux des personnes, à commencer par le droit au respect de la vie privée.

L’intérêt légitime n’a pas à être prévu par une loi

La base de licéité de l’intérêt légitime a fait l’objet de discussions nourries, spécialement au sujet des prestataires garantissant un accès gratuit à des produits ou services en échange des données personnelles des consommateurs⁶.

Si le recours à de tels modèles économiques n’est nullement proscrit par le droit de l’Union européenne⁷, c’est bien sous réserve de respecter les standards et obligations prévus par le RGPD. Sur ce point, on rappellera que la Cour de justice a apporté des précisions utiles dans son arrêt du 4 juillet 2023, pour affirmer que l’intérêt légitime du responsable de traitement ne saurait nullement justifier des traitements de données aussi généralisés, exposant les utilisateurs de ses services à une surveillance constante et quasi illimitée sans qu’ils puissent raisonnablement s’y attendre⁸ (voir La rem n°68, p.22). Cet arrêt était justement édifiant dans la présente affaire, au point que son examen a été suspendu, le temps pour la Cour de rendre sa décision. Bien que les faits n’intéressent pas le même type de pratiques, la notion d’« intérêt légitime » se devait d’être définie de manière suffisamment précise, sa portée seulement pouvant varier en fonction des catégories de traitements effectués.

La Cour rappelle tout d’abord que le consentement de la personne constitue la principale base de licéité d’un traitement au sens de l’article 6, les autres bases ne pouvant être appelées que de manière subsidiaire et exceptionnelle. Elles doivent, par conséquent, faire l’objet d’une interprétation restrictive (§ 30-31). Faute pour le règlement d’avoir défini la notion, la Cour concède que l’intérêt légitime n’a pas à être prévu par une loi, ce qui était pourtant soutenu par l’autorité néerlandaise de protection des données (§ 38-39). De là s’explique qu’une grande variété d’intérêts puisse être dégagée dans la pratique⁹, y compris des intérêts purement commerciaux. Du reste, le paragraphe 47 du préambule du règlement mentionne explicitement la prospection commerciale à titre d’illustration de l’intérêt légitime du responsable de traitement, celui-ci pouvant plus généralement être recherché au sein d’une relation « pertinente et appropriée » avec les personnes dont les données sont traitées, telle qu’une relation de clientèle. Quoi qu’il en soit, un tel intérêt se doit d’être licite et suffisamment équilibré avec le respect des droits et libertés des personnes.

En l’espèce, l’intérêt invoqué par la fédération semblait en soi invocable, alors qu’il concerne des personnes entretenant déjà une relation avec elle. Encore fallait-il vérifier que le traitement de leurs données à des fins de prospection par des partenaires soit vraiment nécessaire à la réalisation de cet intérêt, cela devant être apprécié au regard des attentes raisonnables des personnes concernées.

La mise en balance de l’intérêt légitime du responsable de traitement avec les droits et intérêts des personnes

La Cour rappelle les trois conditions établissant la licéité du traitement fondé sur l’intérêt légitime¹⁰. Outre la poursuite de celui-ci, il importe de vérifier la nécessité du traitement pour en permettre la réalisation, celle-ci devant être telle qu’il n’existe pas d’autres moyens moins attentatoires aux droits et libertés des personnes concernées, lesquels doivent faire l’objet d’une pondération avec l’intérêt du responsable de traitement. Cette troisième condition, qui suppose la recherche d’un rapport de proportionnalité, implique une appréciation circonstanciée du contexte dans lequel le traitement est effectué.

De façon générale, le recours à l’intérêt légitime doit être considéré en relation avec les autres bases de licéité visées à l’article 6 du RGPD. L’ex-Groupe de travail Article 29 l’avait fort bien expliqué dans l’un de ses avis, en considérant que les traitements reposant sur l’une des cinq autres bases étaient présumés légitimes, sous réserve de respecter les dispositions et obligations relatives à la protection des données ; l’intérêt légitime, au contraire, impose un critère spécifique assurant que « tout traitement, en dehors de ces scénarios, doive répondre aux exigences d’un critère de mise en balance, en tenant dûment compte des intérêts et droits fondamentaux de la personne concernée »¹¹. Autrement dit, les cinq autres bases reposent par nature sur un élément objectif réputé moins attentatoire aux droits et libertés des personnes, ce qui impose une certaine comparaison en fonction des circonstances du traitement en cause.

S’agissant du cas d’espèce, l’intérêt légitime a été reconnu comme valable et licite (§ 47-49). Mais c’est l’examen des deuxième et troisième conditions qui s’avère décisif pour apprécier la conformité du traitement effectué. Outre le respect du principe de minimisation des données, qui impose d’en limiter la portée aux seules données adéquates, pertinentes et nécessaires au regard des finalités pour lesquelles elles sont traitées, la Cour prend en considération les « attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement » (§ 47 du préambule du RGPD).

Ainsi estime-t-elle que la fédération sportive pouvait préalablement recueillir le consentement de ses membres pour que leurs données soient transmises aux deux sponsors ; un tel procédé, nécessairement moins attentatoire aux droits et libertés, leur aurait permis de conserver le contrôle sur la divulgation et de limiter celle-ci à ce qui est effectivement nécessaire et pertinent, sans restreindre la poursuite de l’intérêt commercial allégué (§ 51-53).

Enfin, s’agissant de la pondération des intérêts, il importe, selon la Cour, de vérifier dans quelle mesure les adhérents d’une association de tennis peuvent s’attendre à faire l’objet d’une campagne de prospection commerciale, l’une par voie postale et l’autre par voie téléphonique, sur la base des données qu’ils avaient transmises lors de leur adhésion. Surtout, la Cour distingue les traitements des deux sponsors concernés. Si le traitement effectué par l’équipementier sportif peut en théorie se justifier, ce dont la juridiction de renvoi devra malgré tout juger, la promotion de jeux de hasard et de casino ne semble pas pertinente et appropriée au titre de la relation entre la fédération et les membres ; ceux-ci sont, de surcroît, exposés à des risques pour leur santé, tels que l’addiction aux jeux (§ 55-56).

Ce faisant, la Cour rappelle la nécessité de préserver l’espérance légitime de toute personne à ne pas faire l’objet d’une investigation dans sa vie privée, en particulier dans ce que celle-ci peut avoir de plus sensible. Si elle nécessite un motif légitime, la filature commerciale devrait donc n’être réalisée que dans la continuité d’une relation préexistante avec laquelle elle partage une certaine cohérence.

De nouvelles lignes directrices du CEPD sur l’intérêt légitime

La solution ainsi rendue par la Cour contribue opportunément à éclairer encore davantage la portée de cette base de licéité, le Comité européen pour la protection des données (CEPD) ayant adopté un projet de nouvelles lignes directrices sur l’intérêt légitime le 18 octobre 2024¹². Celles-ci viennent mettre à jour le précédent avis de l’ex-Groupe de travail Article 29, conformément aux dispositions du RGPD.

Le Comité insiste en particulier sur le fait que l’intérêt légitime ne saurait être considéré comme une base de licéité « par défaut », ni comme une ultime option, pour autoriser des traitements « ouverts » (§ 9), eu égard au risque inhérent de divagation des données qu’il implique. Loin d’être « moins contraignant » que les autres bases visées par l’article 6, l’intérêt légitime doit être interprété restrictivement, puisqu’il ne peut être rattaché à un autre élément objectif tel que le consentement, l’exécution du contrat ou le respect d’une obligation légale. Au-delà, les lignes directrices apportent d’utiles précisions et illustrations quant à la portée des trois critères avancés par la Cour de justice.

Outre le fait que l’intérêt légitime soit licite, il importe qu’il soit « réel et présent » et non purement hypothétique. À cet effet, le document prend pour exemple la constitution d’une base de données d’anciens clients par une entreprise de presse en vue du lancement possible d’un nouveau périodique ; faute pour celui-ci d’être réellement engagé, aucun intérêt légitime ne saurait justifier la conservation des données d’anciens abonnés pour une durée potentiellement indéterminée. Cette exigence vaut aussi lorsque l’intérêt légitime est celui d’un tiers. S’agissant de la deuxième condition, le CEPD rappelle que la base de licéité adéquate doit elle-même être considérée au regard du principe de minimisation des données, l’idée étant que le responsable de traitement choisisse celle qui implique le traitement le plus minimal au regard des finalités poursuivies (§ 28-30).

Surtout, s'agissant de la mise en balance de l’intérêt légitime avec les droits et libertés des personnes concernées par le traitement, le Comité apporte de substantielles précisions sur les éléments à prendre en considération, en adoptant une vision « maximaliste » de la protection des droits en cause. Ainsi affirme-t-il que l’impact du traitement doit être apprécié au regard de l’ensemble des droits fondamentaux potentiellement atteints, et pas seulement le droit au respect de la vie privée (§ 35-38). Les effets indirects ou de long terme doivent également être pris en compte (§ 45-49). Le CEPD insiste en particulier sur la prise en compte des attentes raisonnables des personnes, qui doivent être anticipées à l’aune de la nature et du nombre de données traitées, de l’identité des responsables et de leurs relations existantes (§ 50-54).

Enfin, quand bien même l’intérêt légitime passerait avec succès ce test de conformité, il importe pour le responsable de traitement de respecter l’ensemble des dispositions du RGPD, à commencer par le bénéfice des droits des personnes (accès, effacement, information…). L’absence de recueil du consentement ne saurait donc constituer un blanc-seing à des divagations de données hors de contrôle. C’est bien ce qui était reproché dans le cas d’espèce, à l’origine de l’arrêt de la Cour.

Si la filature commerciale a sûrement encore de beaux jours devant elle, il est à espérer qu’elle procède désormais de manière plus circonstanciée et légitime.

Sources :

1. Kayser Pierre, « Les droits de la personnalité. Aspects théoriques et pratiques », RTDciv., 1971, p. 469.
2. xCEDH, 3^e sect., 24 juin 2004, Von Hannover c/ Allemagne, n° 59320/00, § 69-70.
3. Kayser Pierre, La protection de la vie privée par le droit – Protection du secret de la vie privée, 3^e éd., Economica / Presses universitaires d’Aix-Marseille, 1995, p. 16.
4. Douville Thibault, Droit des données à caractère personnel, LGDJ, Paris, 2023, p. 204-209.
5. CJUE, 9^e ch., 4 octobre 2024, Koninklijke Nederlandse Lawn Tennisbond c./ Autoriteit Persoonsgegevens, n° C-621/22.
6. Benabou Valérie-Laure, Rochfeld Judith, À qui profite le clic ? Le partage de la valeur à l’ère numérique, Odile Jacob, Paris, 2015, p. 27 ; Netter Emmanuel, « Service en ligne "gratuit" contre publicité ciblée : le modèle d’affaires aux pieds d’argile », in Mélanges Storck, Dalloz, 2021, p. 473.
7. Art. 3 de la directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques.
8. CJUE, GC, 4 juillet 2023, Meta Platforms Inc. et a. c./ Bundeskartellamt, n° C-252/21, CCE, décembre 2023, p. 50-53, note N. Martial-Braz.
9. CJUE, 1^re ch., 7 décembre 2023, UF, AB c./ Land Hessen, SCHUFA Holding AG, n° C-26/22 et C-64/22, § 76, RTD-Com., avril 2024, p. 349-352, note T. Douville.
10. CJUE, 3^e ch., 24 novembre 2011, ASNEF et FECEMD c./ Administración del Estado, n° C-468/10 et C-469/10, CCE, mars 2012, p. 32-34, obs. A. Debet ; CJUE, 2^e ch., 4 mai 2017, Rīgas satiksme, n° C-13/16, § 28 ; CJUE, 5^e ch., 17 juin 2021, M.I.C.M. Limited c./ Telenet BVBA, n° C-597/19, § 106, PI, n° 82, janvier 2022, p. 54-55, obs. J.-M. Bruguière.
11. Avis n° 06/2014 du 9 avril 2014 sur la notion d’« intérêt légitime » poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, p. 10.
12. « Guidelines 1/2024 on processing of personal data », based on Article 6(1)(f) GDPR, version 1.0, adopted on 8 October 2024.