Dans un récent jugement, le tribunal judiciaire de Paris est venu préciser la licéité des traitements de données personnelles fondés sur l’intérêt légitime ainsi que les caractéristiques de l’effort disproportionné comme exception au devoir d’information des personnes.
L’intérêt légitime constitue une des six bases légales sur lesquelles un responsable de traitement peut fonder un traitement de données personnelles. Un traitement fondé sur l’intérêt légitime doit être nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées.
L’effort disproportionné constitue une exception au devoir d’information du responsable de traitement qui le fonde sur l’intérêt légitime. Cette exception est posée par l’article 14 paragraphe 5, b) du règlement général sur la protection des données (RGPD).
Ce jugement vient conforter la position et le raisonnement de Millionroads dans le cadre de notre collecte indirecte de données à caractère personnel.
Sommaire
L’intérêt légitime reconnu pour le traitement de données personnelles “publiques”
Les faits du jugement sont simples : un dentiste a demandé à Google de retirer sa fiche professionnelle de Google My Business considérant que la collecte de ses données professionnelles est illicite et qu’il n’a pas donné son consentement.
La licéité du traitement de données personnelles réalisé par Google My Business est reconnu dès lors que le droit au respect de la vie privée a été mis en balance avec la liberté d’expression et d’information notamment.
En l’espèce, les données suivantes sont collectées par Google : le nom, les prénoms, l’adresse du lieu d’exercice professionnel, le numéro de téléphone professionnel et les horaires d’ouverture du cabinet dentaire du requérant.
Le tribunal judiciaire relève alors que “ces données ne relèvent pas de la sphère privée en ce que, d’une part, elles portent uniquement sur des aspects élémentaires de son activité professionnelle qui ne présentent pas de caractère spécifique de sensibilité”. En outre, ces données sont publiques et accessibles par ailleurs, notamment grâce à des démarches entreprises par le requérant lui même.
Ainsi, le tribunal judiciaire juge que le traitement de données personnelles réalisé par Google ne porte pas atteinte au droit fondamental à la protection des données à caractère personnel du requérant.
Le traitement est donc considéré comme légitime en ce qu’il propose “un accès rapide à des informations pratiques sur les professionnels de santé aux internautes”.
Chez Millionroads, nous collectons uniquement des données personnelles accessibles via les moteurs de recherche. Les données personnelles que nous collectons sont strictement nécessaires aux finalités de traitement définies dans notre politique de confidentialité, conformément au principe de minimisation du RGPD.
Nous ne collectons pas de données sensibles au sens du RGPD, mais seulement le nom, le prénom et des données relatives aux parcours professionnels que les individus ont choisi de laisser accessibles à tous. Nous ne collectons pas de coordonnées comme le numéro de téléphone, le mail ou l’adresse postale.
La collecte indirecte de données personnelles que nous effectuons via les réseaux sociaux professionnels et basée sur l’intérêt légitime est conforme à la réglementation relative à la protection des données. Par analogie, le présent jugement du tribunal judiciaire de Paris vient renforcer l’analyse juridique de Millionroads.
L’effort disproportionné reconnu comme exception au devoir d’information
En outre, le requérant reprochait à Google de ne pas avoir reçu une information suffisante garantissant la loyauté et la transparence du traitement à son égard conformément aux dispositions de l’article 14 du RGPD.
Le tribunal judiciaire rappelle que les exceptions au devoir d’information sont possibles dans les cas où la personne concernée est déjà informée, ou quand son information se révèle impossible, ou lorsqu’elle exige des efforts disproportionnés par rapport à l’intérêt de la démarche.
Ainsi le tribunal judiciaire précise qu’il “est indéniable que les données professionnelles litigieuses sont banales et non sensibles et que la recherche par le professionnel des informations concernées est d’une relative simplicité. Dès lors, mettre à la charge de la société GOOGLE LLC un envoi systématique d’une information à tous les entrepreneurs individuels susceptibles de faire l’objet d’une fiche professionnelle serait disproportionné”.
L’effort disproportionné est donc reconnu comme exception au devoir d’information, conformément aux dispositions de l’article 14 du RGPD et ce même pour Google dont les moyens sont considérables !
Chez Millionroads, nous nous basons sur cette exception au devoir d’information. En effet, non seulement les données personnelles que nous collectons ne sont pas sensibles et sont librement accessibles via les moteurs de recherche, mais en plus l’information de chaque personne relèverait d’un effort disproportionné en termes de temps et de coût humain. Il faut également noter que les finalités de nos solutions rejoignent celles des utilisateurs de réseaux sociaux professionnels : être visibles et partager leurs expériences à une communauté de professionnels.
Le raisonnement utilisé par le tribunal judiciaire de Paris est tout à fait similaire à celui que nous avons chez Millionroads. Cela nous conforte donc dans notre raisonnement juridique en lien avec le RGPD.
Accompagner vos besoins dans le respect du RGPD
Chez Millionroads, nous accompagnons nos clients et partenaires dans le respect de la réglementation relative à la protection des données personnelles.
A partir de notre collecte de données personnelles, nous proposons d’accompagner les établissements d’enseignement supérieur dans leurs missions : enquête ministérielle relative à l’insertion professionnelle de vos diplômé.e.s, analyse de votre communauté alumni, mise à jour de votre outil CRM avec des données à jour…
Ce jugement du tribunal judiciaire de Paris vient confirmer le positionnement juridique que nous tenons depuis plusieurs années. Les traitements de données personnelles que nous effectuons sont toujours proportionnés et mis en balance avec le droit fondamental de protection des données à caractère personnel des individus.
Vous avez des questions ? Nous serons heureux d’y répondre 👇
