Analyse approfondie du RGPD : qu'est-ce qui compte comme « intérêt légitime » ?

Publié: 2018-03-01
Analyse approfondie du RGPD : qu'est-ce qui compte comme « intérêt légitime » ?

Vous savez ce qu'ils disent, vous leur donnez un doigt, ils prendront la main.

Donnez-leur une exception d'intérêt légitime, et ils enverront un e-mail à l'ensemble de LinkedIn.

Le GDPR a six motifs légitimes pour le traitement des données personnelles, comme indiqué à l'article 6. Et les intérêts légitimes sont bien conçus pour être les plus utilisés à mauvais escient. Chaque commerçant qui souhaite éviter d'obtenir le consentement pour traiter des données essaiera d'utiliser l'intérêt légitime comme moyen de contourner la demande.

Mais soyez prudent… très prudent. L'intérêt légitime est une disposition plus stricte qu'il n'y paraît.

Parlons donc de l'endroit où il peut être appliqué et de la manière dont nous pouvons mieux comprendre ses intentions.

Six motifs légaux pour le traitement des données personnelles

Vous devez disposer d'une base légale valide pour traiter des données personnelles et il y en a six qui sont désormais considérées comme légales.

Aucune base n'est « meilleure » ou plus importante que les autres. Et la base la plus appropriée à utiliser dépendra de votre objectif et de votre relation avec l'individu.

Une chose à noter : vous devez déterminer votre base légale avant de commencer le traitement. Vous devez l'avoir documenté et disponible en cas d'audit potentiel. Les officiels ne verront pas d'un bon œil les changements de dernière minute.

Votre avis de confidentialité doit également inclure votre base légale pour le traitement et vos objectifs de traitement. Si vos objectifs changent, vous pourrez peut-être poursuivre le traitement sur la base légale d'origine, en supposant que votre nouvel objectif est compatible avec votre base initiale (cela suppose que votre base légale n'était pas le consentement). Quoi qu'il en soit : vous devez vous assurer de mettre à jour votre politique de confidentialité.

Par souci de simplicité, cet article ne se plongera pas dans des données spéciales, telles que les passeports, les données biométriques, etc.

Nous garderons les éléments pertinents pour les spécialistes du marketing : analyses, génération de prospects, e-mails et tests a/b.

Voici ce que vous pouvez utiliser comme motifs légitimes :

  1. Consentement
  2. Contracter
  3. Obligation légale
  4. Intérêts vitaux
  5. Mission d'intérêt général
  6. Intérêts légitimes

Résumé en 10 secondes :

1.Vous devez obtenir le consentement (cette case à cocher sur vos formulaires),
2. Vous devez avoir un contrat avec la personne ou l'entreprise (dans lequel vous avez tous les deux convenu que les données personnelles devaient être traitées).
3-5. Nous les laisserons pour une autre fois, car ils ne sont pas destinés aux spécialistes du marketing.
6. Intérêt légitime. Cela semble le plus simple, non ? Assurez-vous simplement d'avoir une bonne raison "légitime" de traiter des données personnelles et d'en finir avec elles. Adieu le consentement ?

Intérêt légitime : qu'est-ce que c'est ?

Les intérêts légitimes sont la base légale la plus flexible pour le traitement, mais vous ne pouvez pas supposer qu'elle sera toujours la plus appropriée.

Il est susceptible d'être le plus approprié lorsque vous utilisez les données des personnes d'une manière à laquelle elles pourraient raisonnablement s'attendre et qui ont un impact minimal sur la vie privée. OU lorsqu'il existe une justification impérieuse pour le traitement. C'est ce que dit le considérant 47 du RGPD à propos de l'intérêt légitime.

Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement auquel les données à caractère personnel peuvent être divulguées, ou d'un tiers, peuvent constituer une base légale pour le traitement, à condition que les intérêts ou les libertés et droits fondamentaux de la personne concernée soient non prépondérant, prenant en considération les attentes raisonnables des personnes concernées sur la base de leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait exister, par exemple, lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que lorsque la personne concernée est un client ou au service du responsable du traitement. En tout état de cause, l'existence d'un intérêt légitime nécessiterait une évaluation minutieuse, notamment si une personne concernée peut raisonnablement s'attendre, au moment et dans le contexte de la collecte des données à caractère personnel, à ce qu'un traitement à cette fin puisse avoir lieu. Les intérêts et les droits fondamentaux de la personne concernée pourraient, en particulier, l'emporter sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent pas raisonnablement à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique permettant aux autorités publiques de traiter des données à caractère personnel, cette base juridique ne devrait pas s'appliquer au traitement par les autorités publiques dans l'accomplissement de leurs missions. Le traitement des données à caractère personnel strictement nécessaire à la prévention des fraudes constitue également un intérêt légitime du responsable du traitement concerné. Le traitement des données personnelles à des fins de marketing direct peut être considéré comme effectué dans un intérêt légitime.

Si vous choisissez de vous appuyer sur des intérêts légitimes, vous assumez une responsabilité supplémentaire en matière de prise en compte et de protection des droits et intérêts des personnes .

Donc, si vous avez un système où vous êtes vraiment sûr de garantir la confidentialité des utilisateurs, c'est un indicateur fort que vous pouvez utiliser l'intérêt légitime.

Le fondement des intérêts légitimes comporte trois éléments. Il est utile de considérer cela comme un test en trois parties. Vous devez:

  1. identifier un intérêt légitime ;
  2. montrer que le traitement est nécessaire pour y parvenir ; et
  3. l'équilibrer avec les intérêts, les droits et les libertés de l'individu.

Les intérêts légitimes peuvent être vos propres intérêts ou les intérêts de tiers. Ils peuvent inclure des intérêts commerciaux, des intérêts individuels ou des avantages sociétaux plus larges.

Le traitement doit également être nécessaire. Si vous pouvez raisonnablement obtenir le même résultat d'une autre manière moins intrusive - les intérêts légitimes ne s'appliquent plus,

De plus, vous devez suivre les étapes suivantes en utilisant l'intérêt légitime :

  • Vous devez trouver un équilibre entre vos intérêts et ceux de la personne. S'ils ne s'attendaient pas raisonnablement au traitement, ou s'il causerait un préjudice injustifié, leurs intérêts sont susceptibles de l'emporter sur vos intérêts légitimes.
  • Conservez un enregistrement de votre évaluation des intérêts légitimes (LIA) pour vous aider à démontrer la conformité si nécessaire.
  • Vous devez inclure les détails de vos intérêts légitimes dans votre avis de confidentialité.

Liste de contrôle de l'autorité de confidentialité de l'ICO (Royaume-Uni) pour un intérêt légitime

Le site Web de l'ICO (Information Commissioner's Office) dispose d'une liste de contrôle destinée à vous aider à déterminer si votre traitement de données est justifié par des intérêts légitimes.

Si vous cherchez à jouer la sécurité, assurez-vous de pouvoir confirmer les éléments suivants :

  • Nous avons vérifié que l'intérêt légitime est la base la plus appropriée.
  • Nous comprenons notre responsabilité de protéger les intérêts de l'individu.
  • Nous avons effectué une évaluation des intérêts légitimes (LIA) et en avons conservé un enregistrement, afin de nous assurer que nous pouvons justifier notre décision.
  • Nous avons identifié les intérêts légitimes pertinents.
  • Nous avons vérifié que le traitement est nécessaire et qu'il n'existe pas de moyen moins intrusif pour obtenir le même résultat.
  • Nous avons effectué un test de mise en balance et sommes convaincus que les intérêts de l'individu ne l'emportent pas sur ces intérêts légitimes.
  • Nous n'utilisons les données des individus que d'une manière à laquelle ils s'attendraient raisonnablement, sauf si nous avons une très bonne raison.
  • Nous n'utilisons pas les données des utilisateurs d'une manière qu'ils trouveraient intrusive ou qui pourrait leur causer du tort, sauf si nous avons une très bonne raison.
  • Si nous traitons les données des enfants, nous prenons des précautions supplémentaires pour nous assurer que nous protégeons leurs intérêts.
  • Nous avons envisagé des mesures de protection pour réduire l'impact dans la mesure du possible.
  • Nous avons examiné si nous pouvions proposer un opt-out.
  • Si notre LIA identifie un impact significatif sur la vie privée, nous avons examiné si nous devions également mener une DPIA.
  • Nous gardons notre LIA sous examen et le répétons si les circonstances changent.
  • Nous incluons des informations sur nos intérêts légitimes dans notre avis de confidentialité.

Utilisation de l'intérêt légitime pour les tests A/B

À l'avenir, le RGPD et la directive ePrivacy seront les deux pierres angulaires juridiques pour les spécialistes du marketing numérique.

Et comme il le décrit : adresses IP, cookies, ces éléments sont désormais considérés comme des « données personnelles ».

Donc intérêts légitimes mis à part : vous aurez très probablement besoin d'un consentement pour les cookies et autres identifiants avec vos outils de test A/B actuels.

Voici pourquoi:

Il est assez difficile d'avoir un argument en faveur d'un intérêt équilibré et légitime si vous utilisez un logiciel tiers pour enrichir vos segments ou stocker chaque mouvement des visiteurs de votre site Web. Ce type de stockage est une pratique courante avec des outils tels que Heap ou tout programme similaire doté de capacités de post-segmentation ou d'analyse prédictive.

Avec de nombreuses solutions de test A/B de pointe, vous stockez beaucoup de données sur un utilisateur. Et vous utilisez ces données, par la suite, comme vous le souhaitez, sans informer l'utilisateur de ce processus.

Revenons à la liste de contrôle…

Les utilisateurs entrant sur votre site Web "s'attendent-ils raisonnablement" à ce que vous utilisiez leurs données pour prédire leurs habitudes d'achat ?

Votre « besoin légitime » de stocker un excès de leurs données est-il sûr de passer outre les objections qu'ils pourraient avoir à votre utilisation ?

Ce type de collecte de données nécessite probablement un consentement spécifique. Cela signifie que vous ne devriez pas charger de cookies ou d'expériences sans un opt-in spécifique.

Test A/B, moins le stockage des données personnelles

Depuis l'adoption du GDPR, nous avons repensé Convert Experiences. Et nous continuons à y travailler pour être prêts à 100% avant le 25 mai 2018.

Cela signifie que lorsque vous utilisez Convert dans les paramètres par défaut, il sera conforme au GDPR sans que le consentement ne soit nécessaire (voir notre feuille de route ici).

Aucun identifiant de cookie, aucun identifiant unique et aucune adresse IP ne sont stockés. Vraiment tout est dépouillé, autant que possible, afin qu'aucune donnée personnelle ne soit stockée ou utilisée.

Cela signifie qu'aucun consentement n'est nécessaire.

Ce qui pourrait être nécessaire, c'est d'informer les visiteurs du site Web de la façon dont vous gérez les tests A/B.

Peut-être que, pour plus de sécurité, les utilisateurs devraient inclure un intérêt légitime dans leurs politiques de confidentialité, pour signaler que ce cookie placé pour le logiciel de test A/B ne stocke pas de données personnelles. Et pour mentionner l'intérêt stratégique pour vous, en tant qu'entreprise, il est nécessaire de placer ce cookie d'analyse, pour améliorer les performances de votre entreprise.

Résumer:

Le consentement et l'intérêt légitime sont très probablement les bases légitimes les plus utilisées par les spécialistes du marketing numérique.

Sans aucun doute, le consentement est le moyen le plus sûr d'éviter toute action en justice contre votre entreprise.

L'intérêt légitime ne doit être utilisé que dans les rares cas où vous vous retrouvez dos au mur et où vous êtes sûr qu'il n'y a pas ou très peu de données personnelles stockées et traitées.

Assurez-vous qu'il est clair à 100 % pourquoi vous pensez que l'intérêt légitime est viable, et conservez-le en cas d'audit.

Parce que c'est compliqué, mais ce n'est pas sorcier. Si cela semble sournois, demandez le consentement. S'il s'agit d'un traitement vraiment inoffensif, plaidez en faveur d'un impact minimal sur vos clients et les visiteurs de votre site Web.

Et rappelez-vous : le RGPD n'est plus qu'à quelques mois. Tenez-vous informé, parlez à vos fournisseurs et préparez-vous à un environnement de traitement des données plus transparent.