Javascript is required
logo-dastralogo-dastra

Modèle d'auditAnalyse des intérêts légitimes

RGPD
Questionnaire permettant de documenter la justification de la base légale "intérêts légitimes". Ce questionnaire permet l'analyse des intérêts légitimes à travers trois tests : 1 - le test de légitimité 2 - le test de nécessité 3 - le test de proportionnalité Version 1.0

1. Test de légitimité

1.1. Pourquoi voulez-vous traiter les données ?
1.2. Quel bénéfice espérez-vous tirer du traitement ?
1.3. Des tiers bénéficient-ils du traitement ?
1.4. Le traitement présente-t-il des avantages plus larges pour le public ?
1.5. Quelle est l'importance de ces avantages ?
1.6. Quelles seraient les conséquences en cas de non réalisation du traitement ?
1.7. Quel est le résultat escompté pour les individus ?
1.8. Est-ce que le traitement est nécessaire pour se conformer à une autre règlementation ?
1.9. Veuillez préciser les réglementations
1.10. Est-ce que le traitement permet de se conformer à des directives sectorielles ou à un code de conduite ?
1.11. Veuillez préciser les normes ou codes de conduite
1.12. Est-ce que le traitement pose des problèmes éthiques ?
1.13. Est-ce que le traitement répond à l'un des objectifs suivants ?

Si le traitement s'inscrit dans l'un de ces objectifs, alors les intérêts sont présumés légitimes.

1.14. Dans le cas où le traitement ne répond pas aux objectifs précédents, les intérêts du traitement peuvent être présumés légitimes s'il répondent aux trois conditions suivantes.

Il est nécessaire que les trois conditions soient remplies de manière cumulative.

1.15. Au regard de vos réponses aux questions précédentes, indiquez précisément la finalité du traitement
1.16. Au regard de vos réponses aux questions précédentes, indiquez précisément les intérêts légitimes en cause

2. Test de nécéssité

2.1. Le traitement vous aidera-t-il réellement à atteindre votre objectif ?
2.2. Est-ce que le procédé utilisé est proportionné à l'objectif poursuivi ? Est-ce que le procédé est le moins intrusif ? (par exemple un dispositif ne traitant pas de données personnelles, ou un traitement différent plus protecteur de la vie privée)
2.3. Est ce que vous pouvez réaliser le traitement sans utiliser de données personnelles ? ou moins de données ?
2.4. Au regard de vos réponses aux questions précédentes, considérez-vous que le traitement est absolument nécessaire pour attendre la finalité décrite à la section 1 ?

3. Mise en balance

3.1. Le traitement porte-t-il atteinte au droit à la protection des données et à la vie privée ?

Il ne s’agit pas, dans le cadre de cet examen, de s’assurer du respect des dispositions précises du RGPD : l’organisme doit plutôt s’assurer de l’absence d’atteinte manifeste au contenu essentiel, à la substance même de ces droits. Il s’agit donc de prendre en compte les grands principes du RGPD et ses principales lignes de force.

Par exemple, le traitement de données relatives à des enfants, la mise en œuvre de traitements massifs ou portant sur des données sensibles, l’absence de contrôle des personnes sur leurs données constituent des indices de risque d’atteinte grave au droit à la protection des données.

3.2. Le traitement porte-t-il atteinte aux autres droits fondamentaux ?

Tels que par exemple la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté de réunion et d’association, le droit de propriété, le droit d’asile, les droits de l’enfant et des personnes âgées, les droits sociaux, les droits liés à la citoyenneté, etc. ;

Par exemple, un traitement de données ayant pour conséquence, pour les intéressés, de limiter leur accès à des informations essentielles tels que certains discours politiques porte une atteinte manifeste à leur liberté d’information.

3.3. Le traitement porte-t-il atteinte aux intérêts des personnes ?

C’est-à-dire examiner si le traitement impacte leur situation particulière, au-delà de son impact éventuel sur leurs droits, comme par exemple leur situation physique, économique ou sociale.

Par exemple, les intérêts des personnes peuvent prévaloir sur l’intérêt légitime du responsable de traitement si celui-ci leur cause un préjudice financier ou les prive de l’accès à un service essentiel. 

3.4. Préciser quelles sont les attentes raisonnables des personnes concernées par le traitement.

Les attentes raisonnables des personnes ne doivent pas être confondues avec les informations qui sont nécessairement portées à leur connaissance en application du principe de transparence. Il s’agit de ce à quoi une personne peut légitimement s’attendre s’agissant du traitement de ses données, dans la situation de la personne concernée et en fonction du contexte de la collecte. En pratique, cela signifie que le traitement ne doit pas surprendre les personnes dont les données sont traitées, en étant par exemple totalement décorrélé de l’objectif poursuivi ou du service rendu.

Par exemple, la « promesse de service » d’un réseau social est de mettre en relation des individus, et non de les profiler en vue de leur adresser de la publicité personnalisée.

3.5. Existe-t-il un déséquilibre entre les intérêts et droits en cause ?
3.6. SI oui, quelles sont les mesures compensatoires mises en œuvre pour rééquilibrer les intérêts et droits en cause ?

Les mesures compensatoires consistent en des obligations de moyens remplies de manière « premium », la plus approfondie possible, ou en des garanties supplémentaires aux exigences du RGPD. Elles doivent concerner les principaux risques d’atteinte aux intérêts, droits et libertés précédemment identifiés par le responsable du traitement et peuvent donc également viser à limiter des impacts ne concernant pas la vie privée au sens strict.

Par exemple : si le risque identifié par l’organisme concerne le contrôle des personnes sur leurs données, la mise en place de « tableaux de bord » (« dashboards ») leur permettant de gérer leurs préférences et d’exercer leurs droits, ou encore permettre leur opposition au traitement de leurs données sans faire valoir de raison particulière, peuvent constituer de telles mesures additionnelles.

Autres exemples : la pseudonymisation ou l’anonymisation en cas de données fines et nombreuses non strictement nécessaires ; la mise en place d’un comité d’éthique pour contrôler les éventuels effets négatifs de l’utilisation d’algorithmes ou en matière de recherche médicale (en dehors des obligations prévues par les textes) ; la mise en place de filtres parentaux pour des traitements s’adressant à des enfants ; etc.

En cas de déséquilibre, le responsable du traitement doit donc prévoir de telles mesures compensatoires et vérifier si leur application permet effectivement d’atteindre un équilibre entre son intérêt légitime et les droits et intérêts des personnes concernées par le traitement qu’il souhaite mettre en œuvre. Si la pondération apparaît ainsi équilibrée, il peut fonder son traitement sur la base légale de l’intérêt légitime ; dans le cas contraire, une autre base légale, comme par exemple le consentement, devra être recherchée.

Créé le:04/02/2021
Mis à jour le :30/07/2024
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale
Auteur :
Dastro Naute
Dastro Naute
Nombre d'utilisations :32
Utiliser ce modèle d'audit

Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.