Il peut parfois être évident de choisir parmi les bases légales – consentement, obligation légale, contrat, mission d’intérêt public ou intérêt légitime… celle qui est la plus adaptée au traitement de données personnelles. En revanche, concernant l’intérêt légitime, le choix de cette base légale n’est pas souvent facile à justifier. En effet, le recours à l’intérêt légitime suppose que les intérêts poursuivis ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées, comme le précise la CNIL. Voici une infographie pour vous guider :
Comment remédier à ce déséquilibre ?
- Mesures compensatoires :
- Mise en place de tableaux de bord permettant aux personnes de gérer leurs préférences et d’exercer leurs droits
- Pseudonymisation ou anonymisation en cas de données fines et nombreuses non strictement nécessaires
- Comité d’éthique pour contrôler les éventuels effets négatifs de l’utilisation d’algorithmes ou en matière de recherche médicale (en dehors des obligations prévues par les textes)
- Préconisations générales :
- Obligation d’information préalable renforcée
- Durée de conservation adéquate et proportionnée aux finalités poursuivies
- Respect des conditions d’exercice des droits des personnes
- Réaliser une analyse d’impact et renforcer le principe de minimisation, encore plus nécessaire en l’absence de recueil préalable du consentement et a fortiori en présence de mineurs
- Mise en place d’un droit d’opposition spécifique et renforcé
→ Si l’équilibre est atteint entre l’intérêt légitime du responsable de traitement et les droits et intérêts des personnes concernées par le traitement, le traitement peut être fondé sur la base légale de l’intérêt légitime
→ Dans le cas contraire, une autre base légale, comme le consentement, devra être recherchée
