A l'occasion d'une consultation publique, nous sommes intervenus pour partager notre retour d'expérience et nos suggestions sur la refonte des lignes directrices du G29 sur la notion d'intérêt légitime.
Un workshop sur l'intérêt légitime
Le 23 novembre dernier, nous participions à la consultation publique menée par le comité européen de protection des données (CEPD ou EDPB en anglais) qui a pour objet de reccueillir des retours d'expérience sur la pratique des professionnels de la protection des données concernant cette base légale.
Pour rappel, cette base légale fait partie des six bases légales envisageables pour fonder un traitement de données à caractère personnel avec le consentement, le contrat, l’obligation légale, la mission d’intérêt public et la sauvegarde des intérêts vitaux.
Le CEPD organisait cette réunion dans l'optique de mettre à jour les lignes directrices du G29 (le groupe des CNIL européennes réunies conformément à l'article 29 de l'ancienne directive européenne sur la protection des données).
Des lignes directrices qui commencent à dater
Ces lignes directrices datent en effet de 2014 et l'objectif de l'EDPB est d'apporter des lignes directrices spécifiques à chaque base légale. Aujourd'hui, des lignes directrices sur le consentement et sur la base légale du contrat dans le cadre de services en ligne sont publiées.
Depuis les dernières lignes directrices, le RGPD est entré en application et la CJUE a rendu de nombreux arrêts qui modifient l'approche de cette notion par rapport à l'approche retenue en 2014 sur la base de l'ancienne directive datant de 1995.
Une mise à jour nécessaire
Il s'agit de prendre en compte des attentes raisonnables des personnes concernées et l'obejctif de d'assurer la sécurité des réseaux clairement exprimé dans le considérant 49 du RGPD par exemple. Les nouvelles lignes directrices devraient aussi être plus fournies en exemple portant sur des technologies nouvelles ou des pratiques innovantes.
Un workshop fructueux
Ce workshop qui a réuni plusieurs dizaines de personnes au sein de 4 groupes de travail a permis des échanges sur la notion même d'intérêt, de légitimité et des droits fondamentaux des personnes.
De nombreuses questions étaient sur la table.
Nous avons profité de cette réunion publique pour exprimer notre ressenti et en particulier que la base légale des intérêts légitimes reste un peu "fourre tout" et que trop souvent les intérêts légitimes ne sont pas déterminés.
Nous avons ainsi suggéré que les lignes directrices devraient fournir des modèles clé en main d'analyses des intérêts légitimes afin de documenter convenablement sa conformité. En particulier, pour les petites structures telles que les PME afin d'avoir un discours clair sur ce qui est attendu en termes de documentation.
La base légale des intérêts légitimes reste un peu "fourre tout" et trop souvent les intérêts légitimes ne sont pas déterminés.
Dans notre groupe, personne n'a pu vraiment s'exprimer sur la notion d'analyse des intérêts légitimes et de la méthode utilisée. Nous avons surtout conclu que cette analyse n'était en pratique jamais réalisée. Il faut dire que notre groupe était surtout représenté par des lobbyistes de tout bord... Bien que nous ayions eu la présence de Max Schrems.
De même, nous avons suggéré à l'EDPB de préciser les attendus en terme de documentation lors que les traitements font références à des référentiels ou sont pris dans dans le cadre de codes de conduite.
Le workshop a été conclu par une liste assez importante de suggestions et d'exemples à creuser. Les lignes directrices devraient ainsi être complétés d'exemples nouveaux et de propositions de méthodologies qui devraient rester assez généralistes.
La suite d'ici quelques mois !
Plus d'info sur le workshop : https://edpb.europa.eu/news/news/2020/edpb-stakeholder-workshop-legitimate-interest_en
Une interview du rapporteur en charge de la mise à jour des lignes directices : https://www.linkedin.com/pulse/legitimate-interest-fine-balance-greet-gysen/