Arrêt de la Cour de justice de l’Union euro­péenne du 4 octobre 2024, affaire C‑621/​22, Koninklijke Nederlandse Lawn Tennisbond c. Autoriteit Persoonsgegevens

Projet de lignes direc­trices du Comité euro­péen de la protec­tion des données rela­tives aux trai­te­ments fondés sur l’art. 6 par. 1 let. f RGPD

Introduction

La Koninklijke Nederlandse Lawn Tennisbond (Association royale de tennis des Pays-Bas, « KNLTB ») est l’association faîtière de tennis aux Pays-Bas. Les asso­cia­tions de tennis affi­liées à la KNLTB et leurs adhé­rents en sont membres.

Afin de promou­voir le tennis aux Pays-Bas, la KNLTB conclut régu­liè­re­ment des parte­na­riats commer­ciaux avec des spon­sors. Dans ce contexte, elle commu­nique les données person­nelles de ses membres (noms, adresses, etc.) à deux spon­sors, une société vendant des produits spor­tifs et une société de jeux d’argent, lesquels les utilisent à des fins publicitaires.

La KNLTB fonde ces trai­te­ments des données sur un inté­rêt légi­time au sens de l’art. 6 par. 1 let. f RGPD. Dans sa concep­tion, les parte­na­riats commer­ciaux préci­tés permettent à ses membres de béné­fi­cier d’offres promo­tion­nelles et ainsi de réduire le coût de la pratique du tennis. En outre, le fait que la KNLTB contri­bue au déve­lop­pe­ment de ces offres promo­tion­nelles renforce les liens qu’elle entre­tient avec ses membres.

Par déci­sion du 20 décembre 2019, l’Autoriteit Persoonsgegevens (auto­rité de contrôle néer­lan­daise) constate une viola­tion du prin­cipe de la licéité (art. 5 par. 1 let. a cum art. 6 par. 1 let. f RGPD) et inflige à la KNLTB une amende de EUR 525’000.-.

Amené à se pronon­cer sur un recours de la KNLTB, le recht­bank Amsterdam (tribu­nal d’Amsterdam) saisit la Cour de justice de l’Union euro­péenne (CJUE) de plusieurs ques­tions préju­di­cielles rela­tives à la notion d’ « inté­rêts légi­times » au sens de l’art. 6 par. 1 let. f RGPD.

Étape préa­lable : Le choix de la base légale

Le trai­te­ment de données person­nelles n’est licite que s’il repose sur l’une des six bases légales prévues à l’art. 6 par. 1 RGPD. Le premier fonde­ment prévu par cette dispo­si­tion est le consen­te­ment libre, spéci­fique, éclairé et univoque de la personne concer­née, étant précisé que le consen­te­ment doit être donné en lien avec des fina­li­tés déter­mi­nées (art. 6 par. 1 let. a cum art. 4 ch. 11 RGPD).

Alternativement, le trai­te­ment peut repo­ser sur l’un des fonde­ments de néces­sité prévus à l’art. 6 par. 1 let. b à f RGPD. À cet égard, la CJUE précise que ces fonde­ments de néces­sité doivent faire l’objet d’une inter­pré­ta­tion restric­tive, car ils permettent le trai­te­ment de données person­nelles sans le consen­te­ment de la personne concernée.

La preuve du respect du prin­cipe de licéité incombe au respon­sable du trai­te­ment (art. 5 par. 2 RGPD). Ce dernier doit d’ailleurs, lors de la collecte des données person­nelles, infor­mer les personnes concer­nées sur les fina­li­tés du trai­te­ment et sur sa base légale (art. 13 par. 1 let. c RGPD).

En l’espèce, les membres de la KNLTB n’ont pas consenti à la commu­ni­ca­tion, à titre onéreux, de leurs données person­nelles aux spon­sors préci­tés. Par consé­quent, il revient à la KNLTB de démon­trer que les trai­te­ments reposent sur une autre base légale, en l’occurrence sur des inté­rêts légi­times au sens de l’art. 6 par. 1 let. f RGPD.

Étape 1 : L’identification d’un inté­rêt légitime

L’art. 6 par. 1 let. f RGPD dispose que le trai­te­ment de données person­nelles est licite s’il est :

« néces­saire aux fins des inté­rêts légi­times pour­sui­vis par le respon­sable du trai­te­ment ou par un tiers, à moins que ne prévalent les inté­rêts ou les liber­tés et droits fonda­men­taux de la personne concer­née qui exigent une protec­tion des données à carac­tère person­nel, notam­ment lorsque la personne concer­née est un enfant. »

Premièrement, l’application de l’art. 6 par. 1 let. f RGPD suppose l’existence d’un inté­rêt légi­time. Cette dispo­si­tion est suscep­tible de couvrir une grande variété d’intérêts, qu’ils soient prévus par la loi ou non (cf. consid. 47 du RGPD). Cela étant, le respon­sable de trai­te­ment ne peut pas se fonder sur cette dispo­si­tion pour procé­der à n’importe quel trai­te­ment ou pour contour­ner la loi.

Selon le projet de lignes direc­trices rela­tives aux trai­te­ments fondés sur l’art. 6 par. 1 let. f RGPD (le « Projet de  Lignes direc­trices »), mis en consul­ta­tion par le Comité euro­péen de la protec­tion des données (CEPD) jusqu’au 20 novembre 2024, trois condi­tions doivent être cumu­la­ti­ve­ment réunies pour qu’un inté­rêt soit légi­time (cf.  Projet de Lignes Directrices, N 17) :

1. L’intérêt doit être conforme au droit ;
2. L’intérêt doit être déter­miné de façon claire et précise ; et
3. L’intérêt doit être actuel et pratique (et non hypothétique).

Il peut s’agir tant de l’intérêt légi­time du respon­sable du trai­te­ment que de celui d’un tiers. En revanche, l’art. 6 par. 1 let. f RGPD ne s’applique pas aux trai­te­ments effec­tués par les auto­ri­tés publiques dans l’exécution de leurs missions. En effet, il revient aux légis­la­teurs natio­naux de prévoir les bases légales pour le trai­te­ment de données person­nelles par les auto­ri­tés publiques (cf. consid. 47 RGPD).

En l’espèce, la CJUE retient que les inté­rêts commer­ciaux du respon­sable du trai­te­ment peuvent, dans l’absolu, consti­tuer des inté­rêts légi­times au sens de l’art. 6 par. 1 let. f RGPD. Il revient toute­fois au recht­bank Amsterdam d’apprécier l’existence d’un tel inté­rêt dans l’affaire qui l’occupe.

Étape 2 : La néces­sité aux fins de l’intérêt légitime

Deuxièmement, le trai­te­ment de données person­nelles doit être néces­saire pour atteindre les inté­rêts légi­times pour­sui­vis. Pour fonder son trai­te­ment sur l’art. 6 par. 1 let. f RGPD, le respon­sable du trai­te­ment doit donc véri­fier si l’intérêt légi­time pour­suivi – en l’occurrence, son inté­rêt commer­cial– peut être atteint par des moyens moins atten­ta­toires aux liber­tés et droits fonda­men­taux des personnes concer­nées, notam­ment aux droits au respect de la vie privée (art. 7 CDFUE) et à la protec­tion des données à carac­tère person­nel (art. 8 CDFUE).

À cet égard, le prin­cipe de la mini­mi­sa­tion des données (art. 5 par. 1 let. c RGPD) revêt une impor­tance parti­cu­lière. Ce prin­cipe impose que les données trai­tées soient adéquates, perti­nentes et limi­tées à ce qui est néces­saire pour atteindre les fina­li­tés poursuivies.

Dans son arrêt, la CJUE esquisse une alter­na­tive moins atten­ta­toire pour les personnes concer­nées. En effet, celles-ci auraient eu un meilleur contrôle sur leurs données person­nelles si la KNLTB avait recueilli leur consen­te­ment. Ainsi, l’activité de trai­te­ment aurait été limi­tée aux personnes ayant consenti aux trai­te­ments à des fins promo­tion­nelles (cf. art. 5 par. 1 let. c RGPD). Il revient toute­fois à la juri­dic­tion de renvoi de trancher.

Étape 3 :  La pondé­ra­tion des inté­rêts en présence

Enfin troi­siè­me­ment, l’art. 6 par. 1 let. f RGPD impose une pondé­ra­tion des inté­rêts entre d’une part les inté­rêts pour­sui­vis, et d’autre part les inté­rêts, les droits et les liber­tés fonda­men­taux des membres d’associations de tennis. Cette pondé­ra­tion vise à éviter tout impact dispro­por­tionné pour la personne concernée.

Selon le Projet de Lignes Directrices du CEPD (cf. N 32), la pondé­ra­tion des inté­rêts en présence suppose que le respon­sable du trai­te­ment ait préa­la­ble­ment iden­ti­fié et décrit les éléments suivants :

1. Les inté­rêts (finan­ciers, sociaux, person­nels, etc.) ainsi que les liber­tés et les droits fonda­men­taux (droit à la liberté d’expression et d’information, droit à la liberté de pensée, de conscience et de reli­gion, etc.) des personnes concernées ;
2. L’impact du trai­te­ment de données sur la personne concer­née, en tenant compte du type de données (en parti­cu­lier, les données sensibles au sens de l’9 par. 1 RGPD), le contexte du trai­te­ment, le nombre des données trai­tées, la combi­nai­son avec d’autres sets de données, la publi­cité des données, etc.) et de ses autres consé­quences (le risque de discri­mi­na­tion, le risque de chil­ling effect, etc.) ;
3. Les attentes raison­nables des personnes concer­nées compte tenu des circons­tances, en parti­cu­lier de leur rela­tion avec le respon­sable du trai­te­ment (cf. 47 du RGPD). Il sied ici de noter que le Projet de Lignes Directrices (cf. N 52) invite à distin­guer entre les attentes raison­nables et la pratique dans un secteur déter­miné, en ce sens que le seul fait que certains trai­te­ments soient communs ne signi­fie pas néces­sai­re­ment que les personnes concer­nées doivent raison­na­ble­ment s’y attendre ; et
4. La pondé­ra­tion des inté­rêts en présence, étant entendu que ce n’est que si les inté­rêts du respon­sable du trai­te­ment respec­ti­ve­ment des tiers prévalent que le trai­te­ment repose vala­ble­ment sur l’6 par. 1 let. f RGPD.

En l’espèce, la CJUE invite le recht­bank Amsterdam à mettre en balance le droit des membres d’associations de tennis à la vie privée (art. 8 CDFUE, art. 16 TFUE) avec l’intérêt commer­cial de la KNLTB. Ce faisant, il doit exami­ner si les personnes concer­nées peuvent s’attendre à de tels trai­te­ments au moment de leur adhé­sion à la KNLTB. En outre, elle doit tenir compte du fait que les données sont commu­ni­quées à une société four­nis­sant des jeux de hasard et des jeux de casino, ce qui est suscep­tible de les expo­ser aux risques liés à la ludopathie.

Une appré­cia­tion

Cet arrêt est d’importance pour les respon­sables du trai­te­ment qui traitent des données person­nelles en se préva­lant d’intérêts commer­ciaux. En effet, la CJUE y confirme expres­sé­ment que les inté­rêts pure­ment commer­ciaux sont suscep­tibles de consti­tuer des inté­rêts légi­times au sens de l’art. 6 par. 1 let. f RGPD (cf. étape 1 supra). Elle désap­prouve ainsi la concep­tion étri­quée rete­nue jusqu’alors par certaines auto­ri­tés de contrôle.

Compte tenu des indi­ca­tions données par la CJUE au recht­bank Amsterdam, il est toute­fois peu probable que la KNLTB passe les étapes 2 et 3 avec succès. Les trai­te­ments de la KNLTB devront donc repo­ser sur le consen­te­ment au sens de l’art. 6 par. 1 let. a cum art. 4 ch. 11 RGPD. La KNLTB devra non seule­ment s’atteler à recueillir le consen­te­ment des personnes concer­nées, mais égale­ment se prépa­rer à gérer les consé­quences d’éventuels retraits de consen­te­ment, lesquels peuvent inter­ve­nir en tout temps (art. 7 par. 3 RGPD).

Au-delà des consi­dé­ra­tions du cas d’espèce, cet arrêt ainsi que le Projet de Lignes Directrices démontrent que le respon­sable du trai­te­ment ne peut fonder son trai­te­ment sur un inté­rêt légi­time au sens de l’art. 6 par. 1 let. f RGPD sans avoir procédé à un examen minu­tieux en trois étapes dont le résul­tat dépend des circons­tances du cas d’espèce. Ces sources consti­tuent néan­moins de précieux outils pour accom­pa­gner le prati­cien dans cet exercice.

Elles peuvent égale­ment s’avérer utiles pour l’analyse de la licéité de trai­te­ments fondés sur le droit suisse. En effet, en vertu de l’art. 31 al. 1 LPD, une atteinte à la person­na­lité induite par un trai­te­ment de données person­nelles est illi­cite à moins d’être justi­fiée, en autres, par un inté­rêt privé ou public prépon­dé­rant. Le légis­la­teur a certes faci­lité l’exercice en énumé­rant des exemples de situa­tions dans lesquelles l’intérêt du respon­sable du trai­te­ment est présumé préva­loir (art. 31 al. 2 LPD), mais il n’en demeure pas moins que le respon­sable du trai­te­ment devra égale­ment iden­ti­fier l’intérêt pour­suivi, s’assurer de la néces­sité du trai­te­ment (cf. art. 6 al. 2 cum art. 7 al. 3 LPD) puis procé­der à une pesée des inté­rêts en présence.