Récemment, le Comité Européen de la Protection des Données (EDPB) a publié deux documents importants. Le premier document s’agit aux lignes directrices sur l’utilisation de l’intérêt légitime comme base juridique pour le traitement des données personnelles dans le cadre du Règlement Général sur la Protection des Données (RGPD). Ces documents visent à répondre aux attentes croissantes des sociétés et des professionnels du droit, en clarifiant les critères précis permettant de s’appuyer sur cette base juridique. Parallèlement, l’EDPB a également rendu un avis sur les obligations des responsables de traitement quant à l’utilisation de sous-traitants et sous-traitants ultérieur.

Nouvelles lignes directrices sur l’intérêt légitime

L’intérêt légitime demeurait une base juridique controversée en raison de son interprétation complexe et des exigences strictes liées à son utilisation. De nombreuses sociétés, en particulier celles opérant dans les secteurs du marketing, de la sécurité et de la prévention des fraudes, s’appuyaient sur cette base. Cependant, en l’absence de directives claires, le risque de sanctions restait élevé.
L’EDPB a clarifié trois conditions cumulatives que les responsables de traitement doivent remplir pour invoquer l’intérêt légitime :
­L’intérêt doit être licite, réel et présent.
­Il faut démontrer que le traitement des données est nécessaire et qu’il n’existe pas d’alternative moins intrusive, en respectant les principes de minimisation des données.
­L’intérêt légitime ne doit pas prévaloir sur les droits et libertés fondamentaux de l’individu concerné.

De plus, la décision de la CJUE concernant l’affaire de l’autorité néerlandaise de protection des données (une affaire impliquant la fédération sportive de tennis des Pays-Bas et l’autorité de contrôle néerlandaise ) souligne que les intérêts commerciaux ne peuvent pas être automatiquement exclus de la notion d’intérêt légitime, mais doivent être évalués au cas par cas.

Ces nouvelles lignes directrices ont des répercussions importantes sur les organismes qui utilisent l’intérêt légitime pour traiter les données personnelles (i.e. dans les secteurs du marketing et de la sécurité). Ils doivent désormais revoir leurs pratiques pour s’assurer que leurs traitements respectent les conditions énoncées par l’EDPB.

Avis sur les obligations des responsables de traitement en matière de sous-traitance

En réponse à une demande de l’autorité de protection des données danoise, l’EDPB a également publié un avis clarifiant les obligations des responsables de traitement qui s’appuient sur des sous-traitants ou des sous-traitants ultérieurs. Les responsables du traitement doivent non seulement s’assurer que les sous-traitants respectent le RGPD, mais aussi avoir une visibilité complète sur l’identité et les responsabilités des sous-traitants ultérieurs, y compris les transferts de données hors de l’EEE. L’EDPB précise que les responsables doivent disposer à tout moment des informations sur l’identité de tous les sous-traitants impliqués (nom, adresse, personne de contact, etc.) et sont responsables de la sélection et de la supervision de ces sous-traitants.

En ce qui concerne la sous-traitance, les organismes qui externalisent le traitement des données doivent impérativement renforcer leur suivi des sous-traitants et sous-traitants ultérieurs. Cela inclut la vérification continue des garanties de protection des données, la révision des contrats et une documentation de toutes les étapes de sous-traitance, en particulier pour les transferts hors de l’EEE. Les organismes utilisant des services cloud devront accorder une attention particulière aux exigences de transparence et de traçabilité imposées par l’EDPB, ce qui pourrait générer des coûts supplémentaires de conformité.