Intérêt légitime RGPD : le triple test expliqué

L’intérêt légitime est la base légale la plus flexible du RGPD — et la plus exigeante en termes de documentation. L’Art. 6(1)(f) RGPD autorise un traitement lorsqu’il est nécessaire aux fins des intérêts légitimes du responsable de traitement, à condition que les droits et libertés des personnes concernées ne prévalent pas. Pour l’invoquer valablement, un triple test systématique est indispensable. La CJUE l’a confirmé dans l’arrêt Rigas (C-13/16, 4 mai 2017) : l’intérêt légitime RGPD n’est pas un droit automatique.

Points Clés

L’Art. 6(1)(f) RGPD est la seule base légale qui exige une mise en balance entre les intérêts du responsable de traitement et les droits des personnes.
Le triple test comprend trois étapes : test de légitimité, test de nécessité, test de mise en balance (proportionnalité).
Les autorités publiques ne peuvent pas invoquer l’intérêt légitime dans le cadre de leurs missions (Art. 6(1) dernier alinéa).
Le droit d’opposition de l’Art. 21 RGPD s’applique spécifiquement aux traitements fondés sur l’intérêt légitime.
Le triple test doit être documenté avant le début du traitement et conservé comme preuve de conformité.

Le texte de l’Art. 6(1)(f) RGPD

« Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

Trois conditions cumulatives se dégagent du texte : l’intérêt doit être légitime, le traitement doit être nécessaire, et les droits des personnes ne doivent pas prévaloir. C’est le triple test.

Étape 1 : le test de légitimité

La première question est : l’intérêt poursuivi est-il légitime ?

Un intérêt est légitime s’il est licite (non contraire à la loi), réel (pas hypothétique), et suffisamment précis pour être évalué. Le considérant 47 du RGPD cite plusieurs exemples d’intérêts légitimes :

La prévention de la fraude
La sécurité du réseau et des systèmes d’information
La prospection commerciale (marketing direct)
Les transferts intra-groupe à des fins administratives

La CJUE a précisé dans l’arrêt Fashion ID (C-40/17, 29 juillet 2019) que l’intérêt légitime peut être de nature économique, et qu’il n’est pas limité aux intérêts vitaux ou essentiels.

Exemples d’intérêts jugés légitimes :

Sécurisation des locaux par vidéosurveillance
Analyse de trafic web pour l’optimisation d’un service
Prospection B2B (envoi d’offres à des contacts professionnels)
Détection d’activités frauduleuses sur un compte client

Exemples d’intérêts jugés non légitimes :

Surveillance systématique des salariés sans motif proportionné
Revente de données à des tiers sans lien avec la finalité initiale

Étape 2 : le test de nécessité

La deuxième question est : le traitement est-il nécessaire pour atteindre cet objectif ?

La nécessité s’apprécie au sens strict : le traitement doit être le moyen le moins intrusif pour atteindre l’objectif poursuivi. S’il existe une alternative moins attentatoire aux droits des personnes qui permet d’obtenir le même résultat, le traitement n’est pas nécessaire.

Le CEPD (Lignes directrices sur l’Art. 6(1)(f)) recommande de se poser les questions suivantes :

Le traitement est-il réellement utile pour atteindre l’objectif, ou simplement commode ?
Existe-t-il un moyen moins intrusif d’atteindre le même résultat ?
Le volume de données collectées est-il proportionné ? Le principe de minimisation des données (Art. 5(1)©) s’applique pleinement.
La durée de conservation prévue est-elle limitée au strict nécessaire ?

Exemple : pour lutter contre la fraude bancaire, analyser les transactions en temps réel est nécessaire. En revanche, conserver l’historique complet des transactions pendant 10 ans à cette seule fin n’est pas nécessaire si une durée plus courte suffit.

Étape 3 : le test de mise en balance

C’est l’étape décisive. Le responsable de traitement doit mettre en balance ses intérêts légitimes avec les droits, libertés et intérêts des personnes concernées.

Facteurs en faveur du responsable de traitement

L’intérêt poursuivi est important (sécurité, prévention de la fraude)
Le traitement a un impact limité sur les personnes
Les données ne sont pas sensibles (Art. 9 RGPD)
Les personnes peuvent raisonnablement s’attendre au traitement
Des mesures de protection sont mises en place (pseudonymisation, accès restreint)

Facteurs en faveur des personnes concernées

Les données sont sensibles ou révèlent des informations intimes
Le traitement concerne des enfants (le considérant 38 impose une protection renforcée)
Le traitement est opaque pour les personnes concernées
Les personnes sont en situation de vulnérabilité
L’impact potentiel est significatif (exclusion d’un service, discrimination)
Les attentes raisonnables des personnes ne sont pas respectées

La notion d’attentes raisonnables

Le considérant 47 du RGPD précise que les attentes raisonnables des personnes sont un critère déterminant. Si une personne peut raisonnablement s’attendre au traitement au moment de la collecte et dans le contexte de sa relation avec le responsable de traitement, la balance penche en faveur de ce dernier.

Exemple favorable : un client d’une boutique en ligne peut raisonnablement s’attendre à recevoir des recommandations de produits similaires à ses achats.

Exemple défavorable : ce même client ne s’attend pas à ce que ses données de navigation soient partagées avec des courtiers en données pour du ciblage publicitaire multi-sites.

Jurisprudence : CJUE et CNIL

CJUE, arrêt Rigas (C-13/16, 4 mai 2017) : la Cour a confirmé que l’intérêt légitime nécessite une évaluation au cas par cas et que le triple test est obligatoire. Un intérêt purement économique peut être légitime, mais il ne dispense pas de la mise en balance.

CJUE, arrêt Meta Platforms (C-252/21, 4 juillet 2023) : la Cour a jugé que Meta ne pouvait pas invoquer l’intérêt légitime pour la publicité comportementale sans démontrer la nécessité et la proportionnalité de ce traitement. Le simple fait que la publicité finance le service ne suffit pas.

CNIL, Délibération n°SAN-2020-003 du 27 juillet 2020 : Spartoo a été sanctionnée de 250 000 euros pour plusieurs manquements, dont l’enregistrement intégral des appels téléphoniques des clients fondé sur l’intérêt légitime sans triple test documenté et sans information des personnes.

CNIL, recommandation prospection B2B, 2023 : la CNIL admet que la prospection par email vers des professionnels peut reposer sur l’intérêt légitime, à condition que le message concerne la fonction professionnelle du destinataire et qu’un mécanisme d’opposition soit effectif dès le premier envoi.

Comment documenter le triple test

La documentation du triple test est une exigence du principe d’accountability (Art. 5(2) RGPD). Le document doit contenir :

Description de l’intérêt légitime : nature, importance, lien avec l’activité
Analyse de nécessité : pourquoi le traitement est indispensable, alternatives envisagées et écartées
Mise en balance : identification des droits et intérêts des personnes, facteurs atténuants (mesures de protection, portée limitée), conclusion motivée
Mesures d’atténuation : pseudonymisation, limitation d’accès, information renforcée, mécanisme d’opposition facilité
Date et auteur : le triple test doit être daté et signé par le responsable de traitement ou le DPO

Legiscope propose un modèle structuré de documentation du triple test, pré-rempli sur la base des informations du registre des traitements.

FAQ

L’intérêt légitime dispense-t-il d’informer les personnes ?

Non. L’Art. 13(1)(d) RGPD impose d’indiquer les intérêts légitimes poursuivis lorsque le traitement repose sur l’Art. 6(1)(f). L’information doit préciser la nature de l’intérêt invoqué — « intérêt légitime » seul ne suffit pas. Les personnes doivent comprendre concrètement pourquoi leurs données sont traitées.

Comment traiter une demande d’opposition fondée sur l’Art. 21 RGPD ?

L’Art. 21(1) RGPD donne aux personnes le droit de s’opposer à un traitement fondé sur l’intérêt légitime pour des raisons tenant à leur situation particulière. Le responsable de traitement doit cesser le traitement sauf s’il démontre des motifs légitimes et impérieux qui prévalent. Pour la prospection directe, l’Art. 21(2) prévoit un droit d’opposition absolu : aucune justification n’est requise.

Un sous-traitant peut-il invoquer l’intérêt légitime ?

Le sous-traitant traite les données pour le compte du responsable de traitement, sur ses instructions (Art. 28 RGPD). C’est le responsable de traitement qui choisit et documente la base légale. Le sous-traitant ne peut pas invoquer son propre intérêt légitime pour un traitement effectué pour le compte d’un responsable de traitement.

L’intérêt légitime peut-il être utilisé pour des données sensibles ?

Non. Les données sensibles (Art. 9 RGPD) font l’objet d’une interdiction de principe. L’Art. 9(2) prévoit des exceptions spécifiques (consentement explicite, obligation en droit du travail, intérêt public, etc.), mais l’intérêt légitime de l’Art. 6(1)(f) n’en fait pas partie. Un traitement de données sensibles nécessite une base légale au titre de l’Art. 6 et une exception au titre de l’Art. 9(2).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial

Written by

Dr. Thiébaut Devergranne

Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →