Si l’article 6 du règlement 2016/679 vise comme base légale du traitement les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ce fondement ne pourra être retenu que si le résultat du test de la balance des intérêts le permet (1).
La Cnil a d’ores et déjà dégagé des critères d’appréciation à prendre en compte dans le cadre du test de la balance des intérêts.
Balance des intérêts dans la décision Google
Pour justifier la combinaison des données des utilisateurs de tous ses services, Google (2) a plaidé son intérêt légitime pour garantir aux utilisateurs « la meilleure qualité de service possible ». Le moteur de recherche a soutenu que ses intérêts « convergent avec ceux de l’utilisateur qui souhaite pouvoir utiliser ses services et bénéficier de la meilleure qualité disponible, si bien que, leurs intérêts respectifs se rejoignant, les siens propres ne peuvent qu’être qualifiés de légitimes ».
Si la Cnil a reconnu que « l’amélioration de la qualité de ses services relève incontestablement des intérêts de la société qui peuvent être qualifiés de légitimes au sens de la loi ». Elle relève que « la société a prévu de procéder à la combinaison potentiellement illimitée de toutes les données qu’elle collecte sur chacun de ses utilisateurs, quel que soit leur statut, et alors même qu’elle n’a pas déterminé les durées de conservation qui leur seraient applicables ».
Elle en conclut donc que la combinaison d’autant de données « est donc de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée ».
Ainsi, dans le cadre de l’analyse de la balance des intérêts la Cnil considère que si Google a effectivement développé des outils visant à permettre aux utilisateurs d’exercer un contrôle sur la collecte et le traitement de leurs données, « que leur portée et leur présentation ne sont pas de nature à rendre ce contrôle effectif pour l’ensemble des utilisateurs, quel que soit leur statut ».
En outre, la Cnil précise que : « contrairement à ce que soutient la société, les droits dont bénéficient les utilisateurs ne leur confèrent pas un large pouvoir de contrôle sur le principe même, le moment de la fourniture de données et sur la manière dont celle-ci sont utilisées et ne lui permettent (pas) de modifier, restreindre ou mettre un terme au traitement de ses données » pour conclure que la société ne peut se prévaloir, d’un juste équilibre entre son intérêt légitime et les droits fondamentaux de ses utilisateurs.
Balance des intérêts dans la décision Facebook
Dans la décision Facebook (3), la Cnil a également reproché à Facebook de procéder à une combinaison massive de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi informatique et libertés.
Il convient de signaler que la combinaison est effectuée non seulement au regard des différentes utilisations du réseau social mais également en combinant des données de plusieurs sociétés du groupe.
Après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, la Cnil conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où notamment elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.
Balance des intérêts : multiplier les garanties et mesures pertinentes
Compte tenu de ce qui précède, les principaux enseignements de la décision Google sont qu’en matière de poursuite d’un intérêt commercial (animation, prospection, etc.), il est nécessaire notamment de multiplier les garanties et mesures pertinentes par le responsable de traitement pour parvenir à faire pencher la balance des intérêts du côté de l’intérêt légitime du responsable :
- Limitation stricte des données traitées ;
- Mesures techniques et organisationnelles pour interdire que les données servent à la prise de décision ou de mesures à l’endroit des personnes (séparation fonctionnelle) ;
- Technique d’anonymisation/pseudonymisation ;
- Agrégation des données ;
- Transparence renforcée ;
- Droit d’opposition général et inconditionnel ;
- Gestion contractuelle ;
- Mécanisme fonctionnel permettant aux clients d’accéder à ses propres données et de les modifier.
Céline Avignon
Lexing Publicité et marketing électronique
(1) Voir notre précédant post du 14-9-2016.
(2) Cnil, Délib. 2016-054, 10-3-2016, Google Inc.
(3) Cnil, Délib. 2016-007, 26-1-2016, Facebook Inc et Facebook Ireland.