Intérêt légitime RGPD : quand et comment l'utiliser

L’intérêt légitime est la base légale la plus souple du RGPD — et la plus risquée. Elle permet de traiter des données personnelles sans recueillir le consentement des personnes, à condition de respecter un cadre strict. En pratique, c’est aussi celle qui génère le plus de sanctions : Meta a été condamnée à 390 millions d’euros pour l’avoir invoquée à tort en matière de publicité ciblée. Voici comment l’utiliser correctement.

Qu’est-ce que l’intérêt légitime au sens du RGPD ?

L’intérêt légitime est l’une des six bases légales prévues par le RGPD pour fonder un traitement de données personnelles. Il est défini à l’Art. 6(1)(f) :

« Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

Concrètement, cette base légale autorise un responsable de traitement à collecter et utiliser des données sans consentement préalable, dès lors qu’il justifie d’un intérêt concret et que les droits des personnes ne prévalent pas. C’est une base légale qui repose sur une mise en balance — pas sur un blanc-seing.

Point important : l’intérêt légitime ne peut pas être invoqué par les autorités publiques dans le cadre de l’exécution de leurs missions (Art. 6(1), dernier alinéa). Pour le secteur public, il faut se tourner vers la mission d’intérêt public (Art. 6(1)(e)) ou une autre base légale.

Quand utiliser l’intérêt légitime ?

Dans mon expérience de conseil auprès de PME et d’ETI, l’intérêt légitime est pertinent dans des situations bien identifiées. Voici les cas d’usage les plus courants reconnus par la CNIL et le CEPD (Comité européen de la protection des données).

Prospection B2B

L’envoi d’emails de prospection entre professionnels peut se fonder sur l’intérêt légitime, à condition que le message soit en rapport avec la fonction professionnelle du destinataire et qu’un mécanisme d’opposition simple soit proposé. La CNIL considère cette pratique comme compatible avec l’intérêt légitime, sous réserve du respect des dispositions de l’article L. 34-5 du Code des postes et des communications électroniques.

Sécurité informatique et prévention de la fraude

La surveillance des accès, la détection d’intrusions, les analyses de logs pour prévenir la fraude — tout cela relève classiquement de l’intérêt légitime. Le considérant 49 du RGPD le confirme explicitement : le traitement de données « strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime ». C’est un cas où la sécurité informatique et le RGPD convergent naturellement.

Gestion de la relation client

Un e-commerçant qui analyse l’historique d’achat de ses clients pour personnaliser ses recommandations peut invoquer l’intérêt légitime — à condition que le profilage reste proportionné et que les clients puissent s’y opposer facilement. La frontière avec le consentement se situe au niveau de l’intensité du profilage : un tri basique est acceptable, un scoring comportemental détaillé nécessite probablement le consentement.

Vidéosurveillance de locaux professionnels

La protection des biens et la sécurité des personnes dans des locaux professionnels se fondent généralement sur l’intérêt légitime — à condition de respecter les règles de proportionnalité (zones filmées, durées de conservation, information des personnes).

Transferts intra-groupe

Le considérant 48 du RGPD reconnaît que les responsables de traitement faisant partie d’un groupe d’entreprises peuvent avoir un intérêt légitime à transmettre des données au sein du groupe à des fins administratives internes, y compris pour le traitement de données de clients ou de salariés.

Développement de systèmes d’IA

Fait notable : la CNIL a publié en 2024 des recommandations spécifiques sur le recours à l’intérêt légitime pour le développement de systèmes d’intelligence artificielle. La CNIL admet que l’entraînement de modèles d’IA puisse se fonder sur l’intérêt légitime, y compris à partir de données collectées par moissonnage (web scraping), sous réserve de garanties renforcées : pseudonymisation, information des personnes, droit d’opposition effectif.

Le triple test : la condition préalable obligatoire

L’intérêt légitime n’est pas un choix par défaut. Avant de l’invoquer, le responsable de traitement doit réaliser un triple test documenté. Ce test se décompose en trois étapes :

1. Test de finalité (l’intérêt est-il réellement légitime ?) — Il faut identifier un intérêt concret, réel et actuel. Un intérêt purement hypothétique ou spéculatif ne suffit pas. L’intérêt peut être commercial, sécuritaire, juridique, ou lié à la bonne gestion de l’entreprise.

2. Test de nécessité (le traitement est-il indispensable ?) — Le traitement doit être strictement nécessaire pour atteindre l’objectif poursuivi. S’il existe un moyen moins intrusif d’atteindre le même résultat sans traiter de données personnelles, l’intérêt légitime ne peut pas être invoqué.

3. Test de proportionnalité (mise en balance des intérêts) — C’est l’étape cruciale. Il faut vérifier que les droits et libertés fondamentaux des personnes concernées ne prévalent pas sur l’intérêt du responsable de traitement. Plusieurs facteurs entrent en jeu : la nature des données, les attentes raisonnables des personnes, l’impact du traitement, les mesures de protection mises en place.

Les Guidelines 1/2024 du CEPD (adoptées en octobre 2024) ont précisé ce cadre en s’appuyant notamment sur l’arrêt de la CJUE du 4 octobre 2024 (affaire C-621/22). Elles insistent sur le fait que l’intérêt légitime doit être évalué au cas par cas — il n’existe pas de liste fermée d’intérêts automatiquement considérés comme légitimes.

Les erreurs les plus fréquentes

Ayant travaillé 6 ans au sein de la DCSSI (devenue ANSSI) et conseillé de nombreuses organisations sur ces sujets, je constate régulièrement les mêmes erreurs.

Utiliser l’intérêt légitime « par défaut »

C’est l’erreur la plus courante. Beaucoup de DPO choisissent l’intérêt légitime simplement parce qu’ils ne veulent pas demander le consentement. Or l’intérêt légitime n’est pas une alternative de commodité au consentement — c’est une base légale autonome avec ses propres conditions. La CNIL sanctionne régulièrement cette pratique, comme le montrent les dernières sanctions.

Ne pas documenter le triple test

Le triple test doit être formalisé par écrit et conservé. En cas de contrôle, la CNIL demandera ce document. L’absence de documentation constitue en soi un manquement au principe de responsabilité (accountability) de l’Art. 5(2) du RGPD. Ce document doit figurer dans votre registre des traitements.

Ignorer le droit d’opposition

L’Art. 21(1) du RGPD confère aux personnes un droit d’opposition spécifique lorsque le traitement est fondé sur l’intérêt légitime. Ce droit est discrétionnaire : la personne n’a pas à justifier sa demande (contrairement à ce que beaucoup de DPO croient). Le responsable de traitement doit alors cesser le traitement, sauf s’il démontre des « motifs légitimes et impérieux » qui prévalent sur les intérêts de la personne.

Confondre intérêt légitime et intérêt commercial

Avoir un intérêt commercial à traiter des données ne suffit pas à établir un intérêt légitime au sens du RGPD. L’intérêt doit être licite, clairement articulé et proportionné. « Augmenter notre chiffre d’affaires » n’est pas un intérêt légitime recevable ; « personnaliser les recommandations produits pour améliorer l’expérience client » peut l’être, sous conditions.

Intérêt légitime vs consentement : comment choisir ?

Le choix entre l’intérêt légitime et le consentement dépend de la nature du traitement et du contexte. Voici les critères de décision :

Il est recommandé d’utiliser l’intérêt légitime lorsque le traitement correspond aux attentes raisonnables de la personne (sécurité, relation commerciale existante), lorsque demander le consentement serait disproportionné ou impraticable, et lorsque le traitement a un impact limité sur la vie privée des personnes.

Il est préférable d’opter pour le consentement lorsque le traitement implique des données sensibles (Art. 9), lorsqu’il y a un profilage intensif ou une prise de décision automatisée, pour le marketing par email à destination de particuliers (B2C), ou lorsque les personnes n’ont aucune raison de s’attendre au traitement.

Attention : ces deux bases légales ne sont pas interchangeables en cours de traitement. On ne peut pas « basculer » de l’intérêt légitime vers le consentement (ou inversement) une fois le traitement engagé. Ce point a été clairement affirmé par le CEPD dans ses lignes directrices.

Comment documenter l’intérêt légitime en pratique

Pour chaque traitement fondé sur l’intérêt légitime, il est recommandé de constituer un dossier comprenant :

La description précise de l’intérêt poursuivi et sa justification, l’analyse de nécessité démontrant qu’aucun moyen moins intrusif n’existe, la mise en balance documentée entre cet intérêt et les droits des personnes concernées, les mesures de protection mises en place (information, droit d’opposition, minimisation des données), et la date de l’analyse avec un calendrier de réexamen périodique.

Ce dossier n’a pas de forme imposée par le RGPD, mais il doit être suffisamment détaillé pour démontrer la conformité en cas de contrôle. Dans mon expérience, un document de 2 à 3 pages par traitement suffit généralement. C’est précisément le type de documentation que des outils comme Legiscope permettent de structurer et maintenir de manière systématique.

L’analyse d’impact (AIPD) n’est pas systématiquement requise lorsque l’intérêt légitime est invoqué, mais elle devient nécessaire si le traitement présente un risque élevé pour les droits des personnes (Art. 35 RGPD) — par exemple en cas de vidéosurveillance à grande échelle ou de profilage systématique.

Ce qu’il faut retenir

• L’intérêt légitime (Art. 6(1)(f)) permet de traiter des données sans consentement, mais exige un triple test documenté évaluant la finalité, la nécessité et la proportionnalité du traitement.
• Les cas d’usage reconnus incluent la prospection B2B, la sécurité informatique, la gestion de la relation client, les transferts intra-groupe et, depuis 2024, le développement de systèmes d’IA.
• Le droit d’opposition (Art. 21) est discrétionnaire pour les personnes concernées — le responsable de traitement doit y répondre sauf à démontrer des motifs impérieux.
• Ne jamais utiliser l’intérêt légitime « par défaut » pour éviter le consentement : la CNIL et le CEPD sanctionnent cette pratique (jusqu’à 390 M€ dans le cas de Meta).
• Chaque traitement fondé sur l’intérêt légitime doit être documenté individuellement et réexaminé périodiquement, conformément au principe d’accountability du RGPD.

FAQ

L’intérêt légitime dispense-t-il d’informer les personnes ?

Non. Quelle que soit la base légale retenue, l’obligation d’information des Art. 13 et 14 du RGPD s’applique. Il faut informer les personnes de l’existence du traitement, de sa finalité, et spécifiquement de l’intérêt légitime poursuivi. Le défaut d’information est sanctionné indépendamment de la base légale.

Une collectivité locale peut-elle invoquer l’intérêt légitime ?

En principe non. L’Art. 6(1), dernier alinéa, exclut les autorités publiques du recours à l’intérêt légitime dans le cadre de l’exécution de leurs missions. Elles doivent se fonder sur une autre base légale, généralement la mission d’intérêt public (Art. 6(1)(e)) ou une obligation légale (Art. 6(1)©).

Faut-il réaliser une AIPD pour chaque traitement fondé sur l’intérêt légitime ?

Pas systématiquement. L’AIPD est requise uniquement lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (Art. 35). En revanche, le triple test (évaluation de l’intérêt légitime) est obligatoire pour chaque traitement fondé sur l’Art. 6(1)(f), quelle que soit son ampleur.

Peut-on changer de base légale en cours de traitement ?

Non. Le CEPD a clairement indiqué dans ses Guidelines 1/2024 qu’un responsable de traitement ne peut pas basculer d’une base légale à une autre pour un traitement en cours. Si l’intérêt légitime est invalidé (par exemple suite à un contrôle), le traitement doit être suspendu jusqu’à ce qu’une base légale valide soit établie — ce qui peut impliquer de recueillir le consentement des personnes avant de reprendre.