Réponse

En tant qu’entreprise/organisation, vous devez souvent traiter des données à caractère personnel afin d’exécuter des missions liées à vos activités professionnelles. Dans ce contexte, le traitement des données à caractère personnel ne sera pas nécessairement justifié par une obligation légale ou effectué pour exécuter les dispositions d’un contrat conclu avec une personne. Dans ces cas, le traitement de données à caractère personnel peut se justifier en invoquant un intérêt légitime.  

Votre entreprise/organisation doit informer les personnes concernées du traitement lorsqu'elle collecte leurs données à caractère personnel.

Votre entreprise/organisation doit également vérifier que la poursuite de ses intérêts légitimes n’affecte pas sérieusement les droits et libertés de ces personnes, auquel cas votre entreprise/organisation ne peut pas s'appuyer sur l' intérêt légitime pour justifier le traitement des données et un autre motif juridique devra être invoqué.

Exemple

Votre entreprise/organisation a un intérêt légitime lorsque le traitement a lieu dans le cadre d’une relation avec un client, lorsque elle traite des données à caractère personnel à des fins de prospection, pour prévenir la fraude ou garantir la sécurité du réseau et des informations de vos systèmes informatiques.

Références

  • Article 6 et considérants 47), 48) et, 49) du RGPD
  • Groupe de travail «Article 29», Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE