Pour être licite, un traitement de données doit se fonder sur l’une des six bases légales prévues par le règlement général sur la protection des données (Règl. 2016-679 du 27-4-2016, dit « RGPD »), parmi lesquels figure notamment, en l’absence de consentement de la personne concernée par le traitement, l’intérêt légitime de l’organisme qui traite ses données ou celui d’un tiers (RGPD art. 6).
Une fédération de tennis comptant parmi ses adhérents des associations de tennis ainsi que les membres de ces dernières cède, à des fins de prospection commerciale, des données personnelles de ses membres (notamment, nom et adresse, date de naissance, numéro de téléphone et adresse électroniques) à deux de ses « sponsors » (un fournisseur de matériel sportif et une entreprise de jeux de hasard).
Les membres concernés forment un recours devant l’autorité de protection des données néerlandaise qui prononce une amende. La fédération conteste cette sanction : selon elle, la communication de ces données est fondée sur un intérêt légitime consistant, d’une part, dans le fait de créer un lien fort entre cette association et ses membres et, d’autre part, à offrir une valeur ajoutée à l’adhésion de ceux-ci sous la forme de réductions et d’offres chez des partenaires, permettant à ces membres de pratiquer le tennis à un prix abordable.
Saisie dans ce contexte, la CJUE apporte les précisions suivantes.
Elle juge en premier lieu que l’intérêt légitime ne doit pas nécessairement être défini par la loi, contrairement à ce que faisaient valoir les personnes concernées par le traitement ; il peut s’agir d’un intérêt quelconque, du moment où il n’est pas contraire à la loi. L’intérêt commercial du responsable de traitement pourrait ainsi constituer un intérêt légitime au sens du RGPD.
Cependant, rappelle-t-elle, la possibilité de fonder un traitement sur l’intérêt légitime est, outre l’existence d’un tel intérêt, subordonnée à deux conditions supplémentaires (CJUE 17-6-2021 aff. 597/19 point 106 : RJDA 4/22 n° 240 ; CJUE 4-7-2023 aff. 252/21) :
la nécessité du traitement pour la réalisation de l’intérêt légitime poursuivi, qui impose de vérifier que l’intérêt légitime du responsable de traitement ne peut pas raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux libertés et aux droits fondamentaux des personnes concernées. En l’espèce, la CJUE constate que la prospection commerciale litigieuse aurait pu être mise en place après avoir recueilli le consentement des membres de la fédération ;
le fait que les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime du responsable du traitement, ce qui implique une pondération des droits et des intérêts opposés en cause. Sous cet angle, il convient notamment de tenir compte des attentes raisonnables de la personne concernée ainsi que de l’étendue du traitement en cause et de l’impact de celui-ci sur cette personne. Le juge de renvoi devra ainsi vérifier si les membres des associations de tennis pouvaient raisonnablement s’attendre à cette divulgation de leurs données à des tiers, à titre onéreux, à des fins de publicité et de marketing.
Enfin, souligne la CJUE, si l’intérêt légitime peut, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement, dans des situations telles que celle où la personne concernée est la cliente du responsable de traitement ou à son service (RGPD considérant 47), le juge de renvoi devra ici tenir compte du fait que les données en question ont notamment été transmises à un opérateur de jeux de hasard et de casino dont les activités de promotion ne semblent pas entrer dans un tel cadre en ce qui concerne les membres de la fédération de tennis, alors en plus que le marketing des jeux en ligne pourrait avoir des effets néfastes sur les membres des associations car il les expose au risque de développer de la ludopathie.
A noter :
Il peut paraître plus simple, pour un opérateur, de fonder un traitement sur l’intérêt légitime, plutôt que sur les autres bases légales, dans la mesure notamment où l’intérêt légitime peut être justifié par des finalités propres à l’organisation et ne requiert pas le consentement de la personne concernée par le traitement. Cette base légale ne doit pas pour autant être utilisée comme une base légale « par défaut » par les organisations et sa mise en œuvre est subordonnée à plusieurs conditions, comme le rappelle la CJUE dans la décision commentée (sur la notion, voir A.-L. Villedieu, M. El Andaloussi, J. Viet, RGPD : le recours à l’intérêt légitime, un faux ami ? : BRDA 24/23 inf. 23).
En France, la Cnil a, par exemple, considéré qu’il existait un intérêt légitime à conserver les données d’anciens clients à des fins d’amélioration des services (décision MED-2017-075 du 27-11-2017 ; décision formulée avant l’adaptation du droit français au RGPD, mais citée dans des décisions de sanctions ultérieures) ou des données bancaires pour lutter contre la fraude (délibération SAN-2023-008 du 8-6-2023). Observons que la prospection commerciale par courriel électronique fait l'objet d'une réglementation particulière et n’est ainsi possible que si les personnes concernées ont donné leur consentement (CPCE art. L 34-5).
