Pourquoi le choix de la base légale est-il crucial ?
Le Règlement Général sur la Protection des Données (RGPD) impose que tout traitement de données personnelles repose sur l’une des six bases légales prévues par la loi. Il s’agit du fondement juridique qui légitime la collecte et l’utilisation des données (exécution d’un contrat, obligation légale, mission d’intérêt public, etc.), et le choix doit être déterminé avant de démarrer le traitement. Parmi ces bases, le consentement de la personne concernée et l’intérêt légitime du responsable de traitement sont deux options courantes – et souvent sources d’hésitation pour les entreprises. En effet, opter pour la mauvaise base peut rendre le traitement illicite et exposer l’organisme à de sérieux risques (sanctions de la CNIL, atteinte à la réputation, remise en cause des données collectées, etc.). La CNIL souligne d’ailleurs que le choix de la base légale est une décision décisive mais parfois délicate lorsqu’un traitement pourrait relever de plusieurs fondements.
Face à ce dilemme, comment trancher entre consentement et intérêt légitime sans se tromper ? Il faut d’abord bien comprendre ce que recouvrent ces deux notions, leurs avantages et contraintes respectives, puis examiner quelques critères de décision et cas pratiques B2B pour éclairer le choix.
Le consentement : maîtrise aux individus, obligation de transparence pour l’entreprise
Le consentement signifie que la personne
concernée donne son accord explicite pour que ses données
soient traitées à une finalité déterminée. C’est une
manifestation de volonté libre, spécifique, éclairée et univoque
de la part de l’individu. En pratique, cela veut dire que
l’utilisateur a été clairement informé de ce
qu’on fera de ses données et qu’il a accepté sans contrainte,
par une action positive (par exemple cocher une case dédiée non
pré-cochée). Le consentement assure ainsi aux personnes un contrôle
fort sur leurs données : elles comprennent le
traitement envisagé, peuvent choisir librement de l’accepter ou
non, et ont la possibilité de changer d’avis par la suite.
Pour l’organisme qui collecte les données, s’appuyer sur le consentement implique plusieurs obligations : il faut être en mesure de prouver que le consentement valide a bien été recueilli (par exemple en conservant des logs ou une case cochée horodatée), fournir un moyen facile de retrait du consentement à tout moment, et limiter le traitement aux finalités acceptées par la personne. En outre, le consentement doit être renouvelé ou mis à jour si les conditions du traitement changent sensiblement (nouvelle finalité, nouvelles données utilisées, etc.).
Il est important de noter que le consentement n’est pas toujours approprié ni requis. D’une part, le RGPD prévoit d’autres bases légales possibles : si une autre base convient mieux à la situation (par exemple l’exécution d’un contrat, ou l’intérêt légitime justement), le consentement préalable n’est pas obligatoire. D’autre part, dans certaines situations le consentement est au contraire imposé par des lois spécifiques – on doit alors le recueillir. Par exemple, la prospection commerciale par courriel envers des particuliers requiert légalement un consentement explicite préalable (opt-in). De même, le dépôt de cookies non essentiels au fonctionnement du site nécessite le consentement de l’utilisateur, selon les lignes directrices européennes et de la CNIL. Enfin, il faut éviter le « faux consentement » dans des contextes où il ne serait pas réellement libre : par exemple, un employé subordonné ne peut pas donner un consentement pleinement libre à un dispositif imposé par son employeur, ou un client ne devrait pas avoir à consentir à un traitement qui est en réalité nécessaire à un service (sinon son refus pourrait le priver indûment du service). Dans ces cas, il vaut mieux choisir une autre base légale plus adaptée (intérêt légitime, contrat, obligation légale…) plutôt que de forcer un consentement qui serait invalide.
En résumé, le consentement est à privilégier lorsque vous souhaitez donner la main aux individus sur l’utilisation de leurs données – c’est souvent la base la plus respectueuse de la vie privée et la plus sécurisante juridiquement, à condition de bien le recueillir. Mais il apporte une contrainte opérationnelle : il faut gérer ces consentements (obtention, stockage, mise à jour, retrait) de façon rigoureuse et transparente.
L’intérêt légitime : flexibilité pour l’entreprise, à encadrer par une analyse rigoureuse
L’intérêt légitime est perçu comme la base juridique la plus flexible du RGPD. Elle permet à un organisme (entreprise, association, etc.) de traiter des données sans demander l’accord préalable des personnes si le traitement poursuit un objectif légitime et est nécessaire pour atteindre cet objectif, et à condition de veiller à ne pas porter une atteinte excessive aux droits et intérêts des personnes concernées. En clair, c’est une base qui autorise un traitement servant les intérêts légitimes de l’organisation ou d’un tiers, par exemple : renforcer la sécurité des systèmes, prévenir la fraude, gérer son activité de manière efficace, ou prospecter une clientèle existante. Cette base est précieuse pour de nombreux scénarios d’entreprise, car elle évite de solliciter les utilisateurs à tout bout de champ.
Mais attention : qui dit « intérêt légitime » ne dit pas liberté totale. Au contraire, le RGPD et la CNIL exigent une méthode rigoureuse pour s’assurer que cette base est valable dans un cas donné. Classiquement, on recommande d’effectuer un test en trois étapes (souvent appelé LIA pour Legitimate Interest Assessment) :
But légitime : Le but poursuivi est-il légitime au sens de la loi et de la morale ? (Il doit être licite, clairement défini et réel, par ex. la sécurité des biens, la prévention de la fraude, la prospection modérée de clients existants…).
Nécessité : Le traitement des données est-il nécessaire pour atteindre ce but ? (On vérifie qu’il n’existe pas de moyen alternatif moins intrusif pour parvenir au même résultat. Si un objectif peut être atteint sans données personnelles ou avec moins de données, il faut privilégier cette voie.)
Équilibre : Les intérêts de l’organisme ne sont-ils pas contrebalancés par les droits fondamentaux des personnes ? (Il s’agit de peser les effets du traitement sur la vie privée et les libertés des individus : type de données utilisées, caractère potentiellement sensible, personnes concernées vulnérables ou non, niveau d’attente qu’elles peuvent avoir, risque d’impact négatif…. Si le traitement risque de surprendre les personnes ou de les impacter fortement, alors l’intérêt légitime ne peut pas servir de base.)
Ce travail d’analyse doit être mené au cas par cas et documenté. La CNIL insiste sur le fait que l’intérêt légitime ne doit pas être un choix par défaut ou de facilité : il nécessite au contraire un examen attentif et une mise en balance sérieuse entre l’intérêt de l’entreprise et les droits des personnes. En pratique, il est recommandé de formaliser cette analyse (par exemple dans le registre des traitements ou via une fiche d’évaluation interne), et de mettre en place des garanties pour les personnes : transparence accrue dans l’information, possibilité offerte d’exercer leur droit d’opposition, mesures pour minimiser l’intrusion (pseudonymisation, limitation de la conservation, etc.).
Par ailleurs, il existe des limites légales à l’utilisation de l’intérêt légitime. D’une part, si une réglementation sectorielle impose le consentement pour une finalité précise, on ne peut pas invoquer l’intérêt légitime à la place – sous peine d’illégalité. Par exemple, la CNIL a déjà sanctionné des entreprises qui envoyaient des emails de prospection sans consentement en prétendant se baser sur l’intérêt légitime alors que la loi exigeait un opt-in. D’autre part, certains types de traitements sont d’emblée exclus de cette base dans la pratique : le traitement de données sensibles (origine ethnique, santé, etc.) ne saurait en principe être justifié par le seul intérêt légitime du responsable, et nécessite généralement le consentement explicite ou une autre base spéciale. De même, les autorités européennes (CEPD) ont clairement exclu l’intérêt légitime comme base valable pour déposer des cookies de ciblage publicitaire sur le terminal des utilisateurs – dans ces cas, le consentement est impératif.
En résumé, l’intérêt légitime offre aux entreprises une certaine souplesse pour mener des traitements utiles sans demander de consentement à chaque fois, mais cette souplesse est conditionnée à une responsabilité accrue. Il faut pouvoir démontrer que l’usage de l’intérêt légitime est justifié et proportionné. Le bénéfice côté utilisateur est de ne pas être « pollué » par des demandes de consentement incessantes pour des usages peu invasifs ou attendus (ex : mesures de sécurité, personnalisation d’expérience mineure, relation client courante), tout en conservant son droit de s’y opposer si vraiment il n’en veut pas. Le bénéfice côté entreprise est de faciliter certaines opérations courantes, à condition de rester dans les clous et de respecter les contreparties (information et droit d’opposition notamment).
Consentement vs intérêt légitime : comment choisir en pratique ?
Maintenant que les deux notions sont clarifiées, comment décider de l’une ou l’autre pour un traitement donné ? Voici quelques points clés de comparaison à avoir en tête :
Obtention de l’accord de la personne
Le consentement requiert un accord explicite de la part de la personne concernée avant de traiter ses données, tandis que l’intérêt légitime ne nécessite pas de solliciter la personne en amont. En contrepartie, l’utilisateur doit être informé du traitement fondé sur l’intérêt légitime et conserver la possibilité de s’y opposer à tout moment. Concrètement, cela signifie que si vous privilégiez l’expérience “sans friction” pour l’utilisateur (pas de pop-up demandant son autorisation), l’intérêt légitime peut être envisagé, mais il faudra tout de même lui offrir un droit d’opposition effectif et simple (par exemple un lien de désinscription en bas d’un email, ou un paramétrage accessible sur un site). Avec le consentement, à l’inverse, l’utilisateur exerce un contrôle initial mais n’a plus à agir ensuite sauf s’il change d’avis.
Contrôle utilisateur vs initiative de l’entreprise
Le consentement donne le pilotage à l’utilisateur – ce qui peut renforcer la confiance et la transparence, mais comporte le risque qu’il refuse ou ignore la demande de consentement, ce qui bloque le traitement. L’intérêt légitime laisse l’entreprise prendre l’initiative du traitement sans perturber l’utilisateur, ce qui peut être utile pour des actions dont ce dernier bénéficie ou qu’il est en droit d’attendre (par exemple, sécuriser un service, prévenir des abus, ou même recevoir des offres sur des produits similaires à ses achats précédents). Attention toutefois à ne pas en abuser : si l’usage des données est inattendu ou invasif, ne pas demander le consentement peut engendrer méfiance ou mécontentement, et bien sûr un risque de non-conformité.
Possibilité de retrait et conséquences
Sur le plan des droits des personnes, consentement et intérêt légitime offrent chacun un moyen d’arrêter le traitement, mais de manière différente. Avec le consentement, la personne peut retirer son consentement quand elle le souhaite, et le responsable doit alors stopper le traitement (et idéalement supprimer ou anonymiser les données concernées si aucune autre base ne les justifie). Avec l’intérêt légitime, la personne peut exercer son droit d’opposition – notamment pour la prospection, ce droit d’opposition est absolu et le responsable doit cesser le traitement à la première demande. Dans d’autres cas fondés sur l’intérêt légitime (hors marketing direct), l’organisation peut théoriquement refuser l’opposition si elle démontre des raisons impérieuses qui prévalent sur les droits de la personne, mais en pratique cette exception est difficile à invoquer et risquée. Il est donc sage de considérer qu’en cas d’objection du sujet des données, l’entreprise devra la plupart du temps s’incliner. En somme, consentement et opposition aboutissent à un résultat similaire (ne plus traiter la donnée de cette personne), mais le consentement est proactif (pas de traitement sans “oui”), tandis que l’intérêt légitime est réactif (traitement possible sauf si “non”).
Exigences documentaires et preuve
Si vous utilisez le consentement, vous devez être capable de prouver à tout moment que le consentement valide a été donné par la personne (qui, quand, pour quoi). Ceci peut exiger des mécanismes de journalisation ou de stockage de preuve, et doit être anticipé dès la conception du système. Pour l’intérêt légitime, vous devez pouvoir justifier votre décision via l’analyse en trois volets décrite plus haut. La CNIL s’attend à ce que cette réflexion soit consignée dans votre documentation de conformité (registre des traitements, analyse d’impact si nécessaire). En cas de contrôle, il faudra montrer patte blanche : quel était l’intérêt légitime poursuivi, pourquoi vous estimez qu’il l’emporte sur les inconvénients pour les personnes, comment les personnes ont été informées de leurs droits, etc.. Ne pas avoir documenté cette démarche pourrait vous être reproché.
Contexts d’utilisation typiques
Le consentement est particulièrement indiqué lorsque : (a) la loi ou les régulateurs le demandent expressément (ex. prospection B2C, email marketing grand public, cookies de suivi, utilisation de données sensibles hors cas prévus, etc.); (b) lorsque le traitement présente un impact élevé sur la vie privée ou sort de ce que la personne peut raisonnablement attendre – on préférera alors obtenir un accord explicite par prudence ; (c) lorsque la personne doit pouvoir choisir librement une option sans conséquence (ex. s’abonner ou non à une newsletter, autoriser ou non la réutilisation de ses témoignages clients sur un site web). À l’inverse, l’intérêt légitime est souvent privilégié pour : (a) des finalités “métiers” courantes avec un impact faible sur la vie privée, par ex. sécurité du réseau, prévention de la fraude, amélioration interne des process, mesure d’audience anonymisée, etc.; (b) la relation client classique – par exemple exploiter les coordonnées d’un client pour le contacter à propos de produits similaires à ses précédents achats, ou pour de l’enquête de satisfaction, sans redemander un consentement à chaque interaction ; (c) la prospection en contexte professionnel (B2B) où l’on contacte une personne sur son email professionnel dans le cadre de son activité, ce que la loi française autorise sans consentement préalable sous conditions (détaillées ci-dessous) ; (d) plus généralement, toute situation où l’utilisateur s’attend raisonnablement à ce que le traitement ait lieu et où l’impact négatif pour lui est limité. Dans ces cas, l’intérêt légitime évite de solliciter inutilement les personnes tout en restant conforme, pour peu qu’on respecte bien les garde-fous du RGPD.
Ne pas mélanger ni détourner les bases
Dernier conseil : choisissez une base légale et tenez-vous-en à celle-ci pour un traitement donné. Il serait tentant de cumuler (« je demande le consentement, mais si la personne refuse je le ferai quand même sous intérêt légitime ») – c’est une fausse bonne idée. Par exemple, si vous affichez une bannière de consentement pour un traitement et que l’utilisateur dit non, vous ne pouvez pas ensuite ignorer ce refus en invoquant un intérêt légitime : cela équivaudrait à contourner la volonté exprimée et serait sanctionnable. À l’inverse, demander un consentement alors qu’on pourrait légitimement s’en passer peut compliquer la vie inutilement : si la personne refuse, on se prive d’une action pourtant licite autrement. Bref, choisissez la base la plus adaptée en amont, et appliquez-la correctement. En cas d’hésitation persistance, le plus prudent est de privilégier le consentement (la “valeur sûre”), mais ce choix doit être cohérent avec le contexte du traitement et la capacité de la personne à décider librement.
Nous allons voir maintenant, à travers quelques exemples concrets en contexte B2B, comment ces principes s’appliquent et quelle base légale serait appropriée dans chaque cas.
Cas pratiques B2B : quel fondement privilégier selon la situation ?
Prospection commerciale B2B (emails, démarchage direct)
Scénario : Vous souhaitez envoyer des emails ou contacter par téléphone des professionnels pour leur proposer vos services (par exemple, démarcher des directeurs informatiques pour un logiciel B2B que vend votre société). Dans ce contexte B2B, faut-il recueillir le consentement des personnes visées, ou peut-on se baser sur l’intérêt légitime ?
Ce que dit la loi : En France et dans l’UE, la prospection par voie électronique envers des personnes physiques particulières (B2C) est soumise à consentement préalable, sauf exception des clients existants pour des produits similaires. En revanche, envers des professionnels dans le cadre de leur fonction, la réglementation est plus souple. La CNIL indique que la prospection B2B peut être fondée sur l’intérêt légitime de l’organisme, à condition de respecter certaines règles d’or : informer la personne dès la collecte de son email que celui-ci sera utilisé à des fins de prospection pro, lui offrir une possibilité d’opposition simple et gratuite dès le départ et à chaque envoi, et s’assurer que le message est lié à son activité professionnelle. En d’autres termes, vous pouvez envoyer sans consentement préalable un email à paul.toto@entreprise.com pour lui présenter un logiciel de gestion s’il est lui-même directeur administratif (donc a priori intéressé par ce type de produit), à condition qu’il puisse se désinscrire facilement et que son adresse n’ait pas été obtenue de manière trompeuse.
Comment choisir la base : Dans ce cas B2B, l’intérêt légitime est généralement la base recommandée et acceptée par la CNIL, car le contact s’effectue dans un contexte professionnel attendu et n’entame pas excessivement la vie privée de la personneee. Cela évite de contraindre les acteurs économiques à recueillir un opt-in pour chaque email envoyé à une adresse pro (ce qui alourdirait les démarches commerciales). Néanmoins, intérêt légitime ne veut pas dire “tout est permis” : il faut vraiment limiter la prospection aux profils pertinents (en lien avec le métier du prospect), bannir les envois massifs hors cible, et honorer scrupuleusement chaque demande de désinscription ou d’opposition. Par transparence, il est recommandé d’ajouter dans vos emails une mention du style « Vous recevez cet email car nous pensons que notre service X peut intéresser votre entreprise. Si ce n’est pas le cas, vous pouvez vous y opposer à tout moment… », ce qui rappelle la base légale et le droit d’oppositione.
En pratique, pour du démarchage téléphonique B2B, la logique est similaire : vous pouvez appeler un professionnel sans son consentement, sauf s’il s’y est opposé (via Bloctel par exemple). Identifiez-vous, expliquez brièvement le motif pro de l’appel, et recueillez son accord pour continuer la conversation – sinon, n’insistez pas. Pour du publipostage papier B2B, l’intérêt légitime peut aussi s’appliquer (impact vie privée très faible). À l’inverse, pour du B2C pur (cible de particuliers sur leurs coordonnées personnelles), ne cherchez pas d’issue : il vous faut un consentement préalable explicite (opt-in) dans la majorité des canaux numériques (email, SMS)e. La distinction B2B/B2C est donc déterminante.
👉 Verdict : Pour de la prospection auprès de prospects professionnels, optez pour l’intérêt légitime encadré (information + opt-out). Réservez le consentement aux cas de prospection vers des particuliers ou si votre ciblage B2B n’est pas clairement en lien avec l’activité pro visée. Et bien sûr, tenez un registre des personnes ayant refusé pour ne plus les solliciter.
Gestion CRM et fidélisation client
Scénario : Votre entreprise dispose d’un CRM (Customer Relationship Management) où sont centralisées des informations sur vos clients et prospects. Vous utilisez ces données pour relancer des prospects, envoyer des newsletters ou offres promotionnelles à vos clients existants, ou encore mieux connaître vos clients (historique d’achats, préférences) afin d’ajuster votre offre. Quelle base légale justifie ces traitements dans un contexte B2B ?
Analyse : Plusieurs finalités coexistent généralement dans un CRM. D’abord, le fait de stocker les données de clients et de les utiliser pour exécuter le contrat (suivi de commande, facturation, support, etc.) relève de la base “exécution d’un contrat”, car c’est nécessaire à la fourniture du service. Pas besoin de consentement pour envoyer un email de confirmation de commande ou pour conserver l’adresse d’un client tant que c’est utile au contrat. Ensuite, l’entreprise peut vouloir fidéliser ou faire des offres complémentaires à ses clients actuels. Le RGPD permet de s’appuyer sur l’intérêt légitime pour contacter un client existant concernant des produits ou services similaires à ceux qu’il a déjà achetés, sans avoir à recueillir un nouveau consentement. C’est précisément l’exception de prospection “clients” prévue en e-commerce : tant que le client peut s’y opposer (lors de la collecte de ses données ou via un lien de désinscription) et que l’offre est en lien avec ses précédents achats, l’entreprise peut estimer qu’il est dans son intérêt légitime de le solliciter et que cela n’offusquera pas le client. Par exemple, si une société B2B fournit des pièces industrielles à un client, elle peut l’informer de l’arrivée d’une nouvelle gamme compatible avec ses achats, sur la base de l’intérêt légitime (information légitime du client), sans demander un consentement préalable à chaque fois.
Qu’en est-il des prospects dans le CRM ? Si vous avez obtenu le contact d’un prospect B2B (par exemple carte de visite récupérée sur un salon professionnel, ou inscription sur votre site pour télécharger un livre blanc), vous pouvez l’inclure dans votre CRM et le recontacter au titre de votre intérêt légitime commercial – à condition qu’il ait été informé lors de la collecte que vous pourriez le recontacter et qu’il ait la possibilité de s’y opposer facilement. Le simple fait qu’il vous ait donné sa carte ou ses coordonnées pro peut être interprété comme une attente raisonnable d’être recontacté dans un cadre professionnel. Naturellement, prudence : si le prospect n’a montré qu’un intérêt très indirect ou si vous avez acheté une liste de contacts B2B auprès d’un tiers, assurez-vous que ces personnes aient été informées de cette transmission et de leur droit d’opposition, faute de quoi votre base légale d’intérêt légitime serait fragile. Dans certains cas, il peut être plus sûr de solliciter un consentement initial du prospect (ex : via une case “J’accepte de recevoir des informations” sur un formulaire) surtout si la frontière B2B/B2C est floue ou si le prospect pourrait ne pas s’attendre à être démarché.
En résumé : La tenue d’un CRM clients/prospects fait généralement intervenir plusieurs bases légales selon l’usage : l’exécution du contrat pour tout ce qui est service client, obligation légale pour certaines données (ex : conservation des factures, obligations comptables), et intérêt légitime pour la connaissance client et la prospection/fidélisation courante. Le consentement pourra être réservé à des démarches de marketing plus intrusives ou sortant du cadre attendu (par ex. envoyer une newsletter thématique si le client ne l’a pas demandée, ou partager les données du client avec des partenaires commerciaux – là un consentement explicite est requis). Pour un dirigeant non juriste, retenez que votre CRM doit être paramétré pour respecter le droit d’opposition (désinscription facile des emails, prise en compte des refus de contact), et que chaque contact dans le CRM doit avoir une raison légale d’y être : un prospect B2B sur base d’intérêt légitime (mais pas un particulier sans consentement), un client sans opt-in peut recevoir des offres analogues mais pas des offres sans rapport, etc. En cas de doute sur un usage marketing de vos données CRM, il est souvent préférable de demander le consentement (par exemple, un opt-in pour recevoir des études ou offres spéciales), de façon à sécuriser vos pratiques et à cibler des contacts réellement intéressés.
Vidéosurveillance sur site de travail
Scénario : Votre entreprise a installé des caméras de vidéosurveillance dans ses locaux (bureaux, entrepôts, etc.) afin d’assurer la sécurité des employés, des visiteurs et des biens. Cela implique de capturer potentiellement l’image de personnes (salariés, prestataires, clients de passage). Quelle base légale justifie ce dispositif de surveillance ? Faut-il demander le consentement de chaque personne filmée ?
Analyse : Dans le contexte du travail, le consentement des employés n’est pas considéré comme libre (en raison du lien de subordination). On ne va donc pas demander à chaque salarié de signer un consentement pour être éventuellement filmé par la caméra de l’entrée – ce ne serait ni pratique, ni juridiquement valable. La base légale appropriée ici est l’intérêt légitime de l’entreprise pour la sécurité. La CNIL indique qu’un employeur peut installer des caméras sur le lieu de travail pour un objectif légal et légitime, par exemple prévenir les vols ou dégradations, assurer la sécurité des personnes sur site, etc.. C’est un intérêt légitime clair (sécurité des biens et des personnes) qui peut justifier le traitement d’images vidéo, à condition de respecter strictement le principe de proportionnalité. Cela signifie : ne pas filmer en continu des employés à leur poste sans raison valable (la surveillance constante serait disproportionnée), ne pas filmer les zones où la vie privée est totale (toilettes, salles de pause, locaux syndicaux – c’est interdit), limiter l’angle de vue aux seules zones nécessitant une protection (accès, issues de secours, stocks de valeur), et définir une durée de conservation raisonnable des enregistrements (généralement quelques jours, maximum un mois sauf incident). De plus, les personnes filmées doivent être informées de l’existence du dispositif (via un affichage clair à l’entrée, par exemple), et pouvoir exercer leurs droits RGPD (droit d’accès aux images les concernant, etc.).
Le consentement n’est donc ni requis, ni même souhaitable dans ce cas : on se base sur l’intérêt légitime de sécurité, encadré par les recommandations de la CNIL. Cette dernière rappelle que les caméras doivent avoir un objectif légitime précis et qu’on ne doit pas s’en servir pour espionner le personnel dans son travail quotidien. Si un employé estime que la caméra empiète injustement sur sa vie privée (par ex. filme en permanence son poste alors que ce n’est pas justifié), il peut le signaler ou s’y opposer – et l’employeur devrait alors réévaluer l’équilibre des intérêts. En pratique, une vidéosurveillance correctement installée (par exemple, filmer l’entrée et non le bureau de l’employé) sera considérée comme légitime et les employés ne peuvent pas s’y opposer individuellement tant que leurs droits sont respectés. En revanche, un usage détourné (filmer pour surveiller la performance ou chronométrer les pauses) serait illégitime.
En résumé : La vidéosurveillance en entreprise repose sur l’intérêt légitime (sécurité) comme base légale, couplé au respect des règles d’installation et de transparence. Le consentement n’est pas utilisé ici, car impraticable et vicié par le rapport hiérarchique. Pour un dirigeant, cela signifie : bien définir et documenter le motif légitime (sécurité des locaux), faire une analyse d’impact si nécessaire, informer clairement les salariés et visiteurs (panneaux « zone sous vidéosurveillance » avec coordonnées du DPO...), et configurer le système de façon proportionnée. Ainsi, en cas de contrôle, vous pourrez démontrer que le traitement était nécessaire et équilibré – ce qui est précisément ce qu’exige l’intérêt légitime.
Conclusion : adopter la base légale adéquate, c’est concilier conformité et efficacité
Choisir entre consentement et intérêt légitime ne se résume pas à une simple préférence de l’entreprise ou de la personne : c’est le résultat d’une analyse objective du contexte, de la finalité du traitement et des attentes des individus concernés. Le consentement offre une garantie de maîtrise individuelle et constitue souvent un gage de transparence et de loyauté – mais il doit être obtenu et géré dans les règles de l’art, et peut limiter certaines actions (si le consentement n’est pas donné, vous devez renoncer au traitement). L’intérêt légitime donne aux organisations un levier flexible pour des traitements raisonnables qui servent leur activité, sans alourdir l’expérience utilisateur – mais il impose une rigueur tout aussi grande en amont (évaluation et documentation) et un respect sincère des droits des personnes (information, droit d’opposition).
En pratique, retenez que :
Le consentement est requis dès que la loi l’exige (ne cherchez pas à l’éviter dans ces cas), ou dès que le traitement est trop intrusif pour être fait sans accord explicite. C’est la base à privilégier pour toute démarche marketing grand public, ou innovante, où l’utilisateur attend légitimement qu’on lui demande son avis.
L’intérêt légitime est un excellent fondement pour les traitements courants, proportionnés et attendus dans la relation entre une entreprise et des individus en contexte pro ou client : sécurité, amélioration de service, prospection B2B ciblée, etc. Il vous permet d’agir de façon responsable sans bureaucratie excessive, tant que vous gardez à l’esprit l’équilibre à respecter.
En cas d’hésitation, posez-vous les questions suivantes : « La personne s’attend-elle à ce traitement ? En tirera-t-elle un bénéfice ou un service clair ? L’impact sur sa vie privée est-il limité ? Suis-je prêt à lui donner le choix et à respecter sa décision ? ». Les réponses orienteront naturellement vers le bon choix de base légale. N’oubliez pas non plus qu’il existe 4 autres bases légales : parfois, ni le consentement ni l’intérêt légitime ne conviennent, par exemple si le traitement est imposé par la loi (obligation légale) ou nécessaire pour un contrat – utilisez alors ces bases spécifiques.
Enfin, assurez-vous de formaliser votre choix (notez dans votre registre RGPD sur quelle base chaque traitement repose) et formez vos équipes à ces notions. Un traitement bien fondé dès le départ, c’est une énorme tranquillité d’esprit en cas de contrôle ou de question d’un client. À l’inverse, une base légale bancale est une faiblesse qui peut coûter cher. Mieux vaut passer un peu de temps à la réflexion juridique au début que de devoir interrompre une campagne ou payer une amende ensuite. En suivant ces conseils et en vous appuyant sur les recommandations des autorités (CNIL, CEPD…), vous pourrez naviguer entre consentement et intérêt légitime sans vous tromper, et ainsi allier conformité et performance business – pour le bénéfice de votre organisation et le respect de vos parties prenantes.