Protection des données : comment justifier l’intérêt légitime comme base légale du traitement

Protection des données : comment justifier l’intérêt légitime comme base légale du traitement

Ce qu’il faut retenir

L’intérêt légitime est l’une des bases légales d’un traitement de données personnelles. Identifier l’intérêt légitime comme base légale nécessite de réaliser une analyse aux fins de justifier le caractère licite du traitement. 


Lorsqu’une société envisage de lancer un nouveau site web ou un nouveau service nécessitant une collecte de données à caractère personnel, l’une des tâches consiste à identifier la finalité du ou des traitement(s) de données, puis de déterminer la base légale de chaque traitement. Le RGPD définit six bases légales de traitements de données, dont “l’intérêt légitime”. (1)

Loin d’être une solution de facilité, ou un choix par défaut, identifier l’intérêt légitime comme base légale du traitement nécessite de réaliser une analyse aux fins de justifier le caractère licite du traitement. 

L’objet du présent article est de rappeler ce que signifie la notion d’intérêt légitime dans le cadre du traitement de données personnelles, la méthodologie communiquée par la CNIL pour réaliser l’analyse du caractère légitime, l’application de cette base légale aux traitements par des systèmes d’IA, enfin l’interprétation des tribunaux à travers quelques décisions récentes.


1. Qu’est-ce que l’intérêt légitime ?

    1.1 L’intérêt légitime comme base légale du traitement

Pour être licite, tout traitement de données personnelles doit être réalisé pour une finalité et en fonction d’une base légale déterminées, l’intérêt légitime du responsable du traitement étant l’un des cas prévus à l’article 6 du RGPD. La base légale du traitement doit être définie préalablement à sa mise en oeuvre.

En cas de qualification incorrecte de la base légale du traitement, ou d’absence de base légale, le traitement de données personnelles sera considéré comme illicite. Le responsable du traitement sera alors passible d’une amende administrative pouvant atteindre 20 millions d’euros ou 4% du CA annuel mondial total de l’exercice N-1, en application de l’article 83.5.

Ainsi, l’article 6.1 du RGPD dispose que : “Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : (…) 
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.(…)

L’intérêt légitime ne peut être utilisé comme base légale d’un traitement effectué par les autorités publiques dans l'exécution de leurs missions.

Le problème consiste donc à bien déterminer la base légale du traitement et donc à bien appréhender cette notion d’intérêt légitime.

    1.2 Critères de l’intérêt légitime

Pour retenir l’intérêt légitime du responsable de traitement comme base légale, trois conditions doivent être réunies :

    a) Le traitement poursuit un intérêt “légitime”. Le caractère légitime n’est pas défini en tant que tel mais s’apprécie au cas par cas, les exemples fournis par la jurisprudence (voir ci-après) permettant d’en saisir les nuances.

Le caractère légitime de l’intérêt peut être présumé si celui-ci est manifestement licite, déterminé de façon suffisamment claire et précise, et réel et présent (c’est-à-dire non-hypothétique) pour l’organisme.

On peut considérer l’intérêt légitime comme étant justifié dans les exemples suivants : un traitement de données de clients à des fins de gestion commerciale (traitement des commandes) ; un traitement nécessaire dans le cadre d’opération de prospection commerciale (information de la clientèle existante sur le lancement de nouveaux produits ou services similaires) ; un traitement visant à assurer la sécurité des réseaux ou à prévenir la fraude ; un traitement de données des salariés de l’entreprise à des fins de gestion administrative / RH interne.

    b) L’intérêt légitime n’est justifié que si le traitement est nécessaire

    c) Le traitement ne doit pas porter atteinte aux droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes “raisonnables”. (2)

Les droits des personnes, à savoir les libertés et droits fondamentaux de la personne concernée, doivent être mis en balance avec l’intérêt légitime du responsable du traitement. Notamment, la personne dont les données sont collectées ne doit pas être surprise des conditions de mise en oeuvre du traitement. Ce critère s’appréciera en fonction du contexte. Par exemple, un salarié ne serait pas surpris de recevoir des communications de la part de son comité d’entreprise. 

En cas de déséquilibre entre les libertés et les droits fondamentaux des personnes et l’intérêt légitime, les droits des personnes prévalent. 

Il conviendra d’être particulièrement vigilant dans l’analyse de la licéité de la base légale lorsque les données personnelles concernent des enfants ou des personnes vulnérables. 


2. La méthodologie de la CNIL pour définir l’intérêt légitime

La CNIL fournit une méthodologie pour évaluer la validité de l’intérêt légitime comme base légale d’un traitement. Cette méthodologie doit être appliquée dans tous les cas de figure, même quand l’intérêt légitime est évident.

Cette méthodologie repose sur les trois conditions énoncée ci-dessus, à savoir :
    - Identifier le caractère “légitime” de l’intérêt poursuivi par le responsable de traitement et vérifier le caractère nécessaire du traitement au vu de cet objectif ;
    - Evaluer les atteintes aux intérêts et aux droits et libertés des personnes et prendre en compte leurs attentes raisonnables en matière de traitement de leurs données personnelles ;
    - Mettre en balance ces éléments, et si nécessaire prévoir des mesures additionnelles (par exemple, droit d’opposition inconditionnel, ou durée de conservation restreinte).

La CNIL recommande de documenter cette analyse pour faciliter la démonstration de la validité de la base légale du traitement en cas de contrôle.


3. L’intérêt légitime d’un traitement par un système d’intelligence artificielle

Le 19 juin 2025, la CNIL a publié une nouvelle recommandation sur l’intérêt légitime comme base légale pour développer un système d’IA comprenant une collecte de données à caractère personnel. (3)

Le fondement de l’intérêt légitime pour les systèmes d’IA est soumis aux mêmes conditions : caractère légitime de l’intérêt, nécessité du traitement et s’assurer que l’objectif poursuivi ne menace pas les droits et libertés des individus.

    a) Concernant le caractère légitime de l’intérêt, celui-ci peut être présumé dans les cas de développements de systèmes d’IA ayant pour objet de :

     - mener des travaux de recherche scientifique ;
     - faciliter l’accès du public à certaines informations ;
     - développer de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service ;
     - proposer un service d’agent conversationnel pour assister les utilisateurs ;
     - améliorer un produit ou un service pour augmenter sa performance ;
     - détecter des contenus ou comportements frauduleux.
L’intérêt commercial peut constituer un intérêt légitime s’il n’est pas contraire à la loi et que le traitement est nécessaire et proportionné.

L’intérêt poursuivi doit être défini de manière suffisamment précise et porté à la connaissance des personnes dans le cadre des obligations de transparence du responsable du traitement. 

Pour les systèmes d’IA à usage général (GPAI) dont l’utilisation précise du modèle n’est pas connue a priori, la CNIL recommande de faire référence à l’objectif visé par le développement du modèle (par exemple, objectif commercial, public, de recherche scientifique, …). 

    b) Le caractère nécessaire du traitement implique de s’assurer que le traitement envisagé permette d’atteindre l’intérêt poursuivi et qu’il n’existe pas de moyens moins intrusifs pour la vie privée des personnes concernées. Le responsable du traitement doit également prendre en compte le principe de minimisation des données, dans la mesure du possible et compte tenu de l’état de la technologie. 

    c) Enfin, l’organisme doit s’assurer que l’objectif poursuivi ne menace pas les intérêts, les droits et les libertés des individus. Pour ce faire, le responsable du traitement doit opérer une mise en balance entre les droits et les intérêts des personnes concernées en évaluant les avantages du traitement et les impacts sur les personnes.

Plus les bénéfices que l’on peut anticiper du traitement sont importants, plus l’intérêt légitime du responsable du traitement est susceptible de prévaloir sur les droits et libertés des personnes.


4. L’interprétation de l’intérêt légitime par les tribunaux

L’intérêt légitime est souvent invoqué par les organismes en cas de litige mettant en cause la licéité du traitement. 

Plusieurs délibérations de la CNIL et décisions judiciaires ont été rendues, permettant de clarifier cette notion. Nous reprenons ci-dessous quelques exemples de décisions récentes, afin d’illustrer des cas dans lesquels l’intérêt légitime du traitement a été contesté.

Dans une décision de décembre 2020, le Conseil d’Etat a jugé que le traitement consistant pour la société CDiscount de conserver les numéros de carte bancaire des clients ayant procédé à un achat en ligne, pour faciliter des achats ultérieurs (“paiement en un clic”) ne pouvait être justifié par l’intérêt légitime, confirmant la délibération de la CNIL du 6 septembre 2018. 

Selon les juges, l’intérêt légitime “ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.” (4) La conservation des numéros de carte bancaire des clients n’est pas illicite, sous réserve d’être soumise au consentement des clients.

Par une décision du 2 février 2024, le Conseil d’Etat a validé le caractère légitime du registre des baptêmes de l’Eglise catholique et notamment le fait que les données relatives aux personnes baptisées puissent être conservées même après leur décès. En l’espèce, l’intérêt légitime de l’Eglise à conserver les données des personnes baptisées prévaut sur le droit des personnes à l’effacement. La personne baptisée peut néanmoins exercer son droit d’opposition en demandant d’ajouter une mention au registre exprimant sa décision de rompre tout lien religieux. (5)

Le 22 mai 2025, la cour d’appel de Chambéry a condamné la société Google à supprimer une fiche Google My Business (GMB) en écartant l’intérêt légitime du traitement des données. En l’espèce, une dentiste avait poursuivi Google pour traitement illicite de données par le service GMB. En effet, pour pouvoir répondre aux avis laissés par des utilisateurs sur les fiches GMB, le professionnel doit créer un compte sur Google. Selon Google ce traitement est basé sur l’intérêt légitime, notamment le droit à l’information des utilisateurs du moteur de recherche. Or, la cour a relevé que l’obligation pour le professionnel de créer un compte, même gratuitement, pour répondre aux avis sur sa fiche GMB, participe au développement commercial de Google. L’intérêt légitime n’est pas justifié, rendant illicite le traitement de données. (6)

Enfin, dans une décision rendue le 31 juillet 2025, le Conseil d’Etat a invalidé le caractère légitime du traitement des données relatives à la civilité des clients de la société SNCF Connect. Lorsque des voyageurs achetaient des billets de train en ligne sur le site de la SNCF, ils devaient obligatoirement renseigner leur civilité.

Selon les juges, “s'il est vrai que le traitement des données "Monsieur" ou "Madame" met l'entreprise en mesure de s'adresser à la personne selon les formes habituellement en usage, (…) un tel résultat aurait pu être également atteint, (…) en proposant aux clients d'indiquer leur civilité de façon facultative et non obligatoire. (…) L'intérêt qui s'attache à l'exécution de certains services particuliers proposés par SNCF Connect ne pouvait justifier l'ensemble du traitement contesté. Par suite, ce traitement ne pouvait être regardé comme restant dans les limites du strict nécessaire pour la réalisation d'un intérêt légitime, (…).” (7) 


    L’intérêt légitime est souvent choisi comme base légale par les responsables de traitement, par défaut ou par facilité. Or, l’intérêt légitime doit être justifié par une évaluation selon les trois conditions rappelées par la CNIL. Si l’on ne peut justifier le caractère légitime du traitement, il convient de se reporter sur les autres bases légales telles que le consentement de la personne concernées ou l’exécution d’un contrat.


Vous éditez un site web : le Cabinet se tient à votre disposition pour vous accompagner dans la mise en conformité juridique de votre site, notamment en matière de mentions légales, CGU/CGV, RGPD ou cookies.

* * * * * * * * * * *


(1) L’art. 6 par.1 du RGPD (“Licéité du traitement”) définit les six bases légales d’un traitement de données personnelles : le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêt vitaux de la personne concernée, l’exécution d’une mission d’intérêt public et l’intérêt légitime.

(2) Selon le considérant 47 du RGPD, la personne concernée doit raisonnablement s’attendre, au moment et dans le cadre de la collecte de ses données, que celles-ci fassent l’objet d’un traitement.

(3) Recommandation CNIL : “IA : Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA”

(4) CE, 10 décembre 2020, n°429571

(5) CE, 2 février 2024, n°461093

(6) CA Chambéry, 22 mai 2025, n°22/01814

(7) CE, 31 juillet 2025, n°452850


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2025 

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (27) anssi (3) arcep (5) arcom (19) audiovisuel (4) audit (1) base de données (3) bitcoin (1) blockchain (8) cbpr (7) cgv (1) chine (1) cjue (1) cloud computing (3) cnil (19) commerce (4) communication (8) compliance (37) confidentialité (3) conformité (21) consommateurs (4) contrat (9) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (18) données personnelles (33) dpf (2) droit d'auteur (11) dsa (8) e-commerce (15) e-consommateurs (1) enfance (6) etats-unis (6) eu (18) europe (17) formation (2) fraude (3) gdpr (30) google (4) hébergeur (5) ia (19) ico (1) informatique (12) informatique et libertés (4) intelligence artificielle (18) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (11) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (12) originalité (5) privacy shield (2) propriété intellectuelle (13) protection des données (11) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (13) rgpd (23) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (8) site web (5) us (3) vie privée (23)