Comment suivre les visiteurs du site Web en fonction de vos intérêts légitimes
Les intérêts légitimes sont l'un des concepts les plus mal compris en matière de protection des données. De nombreuses entreprises comptent sur eux pour traiter les données des utilisateurs, mais souvent elles le font illégalement et violent le RGPD ou une autre loi applicable sur la confidentialité des données.
Les intérêts légitimes sont l'un des concepts les plus mal compris en matière de protection des données. De nombreuses entreprises comptent sur eux pour traiter les données des utilisateurs, mais souvent elles le font illégalement et violent le RGPD ou une autre loi applicable sur la confidentialité des données.
Vous devez avoir entendu d'autres propriétaires d'entreprise dire qu'ils utilisent des intérêts légitimes pour leur marketing, leur site Web, leurs analyses ou à d'autres fins. Beaucoup d'entre eux évitent même d'utiliser des bannières de cookies en supposant qu'ils peuvent le faire sur la base de celles-ci. Il serait préférable que vous ne preniez pas leurs conseils pour acquis. Les intérêts légitimes sont une pente glissante pour les entreprises en ligne. Ils peuvent s'adapter partout, mais il est plus sage d'éviter de s'appuyer sur eux. Les propriétaires d'entreprise ont tendance à penser que chaque intérêt commercial est légitime pour le suivi des utilisateurs, mais ce n'est pas vrai. Très peu d'intérêts commerciaux sont des intérêts légitimes qui pourraient vous permettre de suivre les visiteurs sans leur consentement. Cet article vous guidera sur la façon d'y penser afin de prendre une décision sage et sécuritaire pour votre entreprise.
Ici vous pouvez lire sur:
- Quels sont les intérêts légitimes
- Comment décider si les intérêts légitimes conviennent à vos objectifs de traitement
- Comment effectuer un test de nécessité
- Comment exécuter un test d'équilibrage
- Pouvez-vous compter sur un intérêt légitime à des fins de marketing
Ces réponses vous montreront comment suivre les visiteurs du site Web en fonction d'intérêts légitimes.
Qu'est-ce que l'intérêt légitime ?
L'intérêt légitime est l'une des bases juridiques du traitement des données en vertu du RGPD et d'autres lois sur la protection des données. Vous pouvez vous y fier lorsque vos intérêts commerciaux légitimes prévalent sur les droits et libertés de vos utilisateurs, c'est-à-dire les personnes concernées, compte tenu des attentes raisonnables des utilisateurs.
Cela signifie que vous pouvez traiter les données personnelles des utilisateurs lorsque:
- Vous avez un intérêt commercial spécifique
- Votre intérêt ne porte pas atteinte aux droits et libertés des utilisateurs, et
- Les utilisateurs peuvent raisonnablement s'attendre à être suivis en raison de vos objectifs.
La partie délicate est de savoir comment s'assurer que vous comptez sur des intérêts légitimes sans violer la loi.
Vous ne pouvez pas compter sur des intérêts légitimes par défaut. Ils ne sont qu'une base de dernier recours. Lorsque vous ne pouvez pas compter sur d'autres bases, telles que l'exécution d'un contrat ou le consentement, vous ne devez envisager de dépendre que d'intérêts légitimes.
Comment décider si vos intérêts commerciaux sont des intérêts légitimes pour le traitement des données personnelles ?
Vous devez effectuer une évaluation des intérêts légitimes (LIA). Le LIA est composé des tests de finalité, de nécessité et d'équilibrage. Ils vous indiqueront si vous avez ou non des intérêts légitimes dans le traitement des données personnelles.
Le test de nécessité vise à déterminer si le traitement des données personnelles est nécessaire.
Le test d'équilibrage détermine si vos intérêts sont suffisamment vitaux pour s'appuyer sur eux. Le test d'équilibrage est une simple comparaison entre vos intérêts et ceux de vos utilisateurs. Lorsque vos intérêts l'emportent sur les leurs, vous êtes prêt à suivre le traitement. Lorsque vos intérêts ne prévalent pas sur les droits et libertés des utilisateurs, vous ne pouvez pas vous prévaloir d'intérêts légitimes et devez vous appuyer sur une autre base légale pour le traitement.
Comment mener le test de finalité ?
Vous effectuez le test de finalité en identifiant simplement la finalité du traitement des données personnelles. Vous devez savoir pourquoi vous traitez les données. Le test de finalité ne diffère en rien de la détermination de toute autre finalité de traitement.
Comment effectuer le test de nécessité ?
Le critère de nécessité est relativement simple. Vous devez vous demander si le traitement des données personnelles est nécessaire à votre finalité.
Demande toi:
- Le traitement des données est-il nécessaire ?
- Pouvez-vous remplir la finalité du traitement sans traitement des données personnelles ?
- Pouvez-vous satisfaire la finalité du traitement d'une autre manière moins intrusive ?
Par exemple, si vous souhaitez traiter des données personnelles en raison de problèmes de sécurité du site Web, vous devez examiner si vous pouvez les protéger sans traitement de données personnelles. Si vous trouvez que la protection est possible et commercialement raisonnable, c'est-à-dire que les coûts n'entraîneront pas la faillite de votre entreprise, vous devriez envisager une telle technologie et vous abstenir de tout traitement.
Si vous déterminez que la technologie existante n'est pas assez bonne ou qu'elle est si chère que vous ne pouvez pas gérer votre entreprise, votre test de nécessité a déterminé que le traitement des données personnelles est nécessaire à vos fins.
Vous pouvez procéder au test d'équilibrage.
Comment mener le test d'équilibrage ?
Le test d'équilibrage compare vos intérêts aux intérêts de vos utilisateurs. Vous ne pouvez traiter les données personnelles des utilisateurs que si vous prouvez que vos intérêts prévalent.
Dans le cas du traitement lié à la sécurité du site Web, vous devez prouver que votre intérêt commercial à disposer d'un site Web sécurisé est plus important que les droits à la vie privée de vos utilisateurs.
Par exemple, supposons que vous traitiez les adresses IP pour vous assurer que vos utilisateurs sont en sécurité et qu'aucun utilisateur ne met en danger le site Web. Dans ce cas, vous devez déterminer si la confidentialité en ligne des utilisateurs l'emporte sur la nécessité d'avoir un site Web sécurisé.
Il n'y a pas de solution unique pour effectuer le test d'équilibrage. Personne ne peut vous donner une réponse directe si vos intérêts l'emportent sur les intérêts des utilisateurs. C'est à vous de décider.
L'Information Commissioner's Office (ICO) du Royaume-Uni fournit un excellent cadre pour orienter votre réflexion. Selon eux, les intérêts légitimes peuvent être appropriés lorsque:
- le traitement n'est pas requis par la loi mais présente un avantage évident pour vous ou les utilisateurs,
- L'intrusion dans la vie privée de vos utilisateurs est limitée.
- L'utilisateur doit raisonnablement s'attendre à ce que vous utilisiez ses données de cette manière, et
- Vous ne pouvez pas ou ne voulez pas déranger les utilisateurs avec des demandes de consentement perturbatrices lorsqu'il est peu probable qu'ils s'opposent au traitement.
Dans quels domaines les intérêts légitimes peuvent s'appliquer
L'intérêt légitime peut s'appliquer pour le traitement à n'importe quelle fin et dans n'importe quel domaine. Cependant, la pratique montre qu'ils sont plus fréquents dans certaines régions que dans d'autres.
Cependant, il est très probable que vous remplissiez les exigences si vous traitez des données personnelles à des fins de prévention de la fraude, de sécurité des réseaux et des informations ou de prévention des délits.
Vous êtes également susceptible de répondre aux exigences si vous vous appuyez sur des intérêts légitimes dans les efforts de marketing direct, le traitement des données des employés et des clients et les transferts de données intra-groupe.
Marketing direct et intérêts légitimes
Dans certains cas, vous pouvez traiter des données personnelles sur la base d'intérêts légitimes. Mais pas dans tous les cas. Vous devez toujours faire le test en trois parties et déterminer si vous pouvez atteindre vos objectifs par d'autres moyens.
De nombreuses entreprises se trompent lorsqu'elles pensent que chaque effort de marketing direct relève de la base d'intérêt légitime pour le traitement. Le référé 47 du RGPD stipule clairement que le marketing direct peut relever de cette base, mais cela ne signifie pas qu'il tombera à coup sûr.
Encore une fois, vous devez effectuer le test en trois parties avant de vous fier aux intérêts légitimes.
Voici deux exemples pour vous donner une idée de la façon de penser à cela:
- Vous dirigez une entreprise de commerce électronique et souhaitez atteindre de nouveaux clients par le biais d'influenceurs. Vous utilisez les adresses e-mail des influenceurs pour les contacter par e-mail. Cela relève probablement des intérêts légitimes puisque vous ne pouvez pas atteindre les influenceurs d'une autre manière, et il est dans leur intérêt d'être contactés pour coopérer.
- Vous accordez des prêts aux consommateurs. Vous contactez un consommateur en retard de remboursement avec une autre banque qui lui propose un nouveau prêt. Le nouveau prêt aggraverait leur situation financière ; par conséquent, cette communication ne semble pas susceptible de relever d'intérêts légitimes.
Lorsque vous effectuez le test d'équilibrage à des fins de marketing, vous pouvez également déterminer si les gens s'attendraient à ce que vous les contactiez de cette manière, si les efforts de marketing pourraient être perçus comme des messages importuns de l'autre côté ou à quelle fréquence vous les recevez.
Il peut être acceptable de contacter occasionnellement des prospects pour leur offrir certains avantages. Pourtant, vous ne pouvez pas le faire périodiquement comme s'ils vous avaient donné leur numéro de téléphone ou l'adresse e-mail pour que vous le fassiez.
Traitement des données des employés et des clients et intérêts légitimes
Comme dans le cas du marketing direct, vous devez faire le test en trois parties. Cependant, il existe de nombreuses situations dans lesquelles il est probable que vous puissiez invoquer des intérêts légitimes pour le traitement des données personnelles des employés.
Dans le cas des données personnelles des employés, il est judicieux de s'appuyer sur l'exécution d'un contrat comme base juridique du traitement. Vous avez un contrat avec votre employé et pour l'exécuter, par exemple pour lui verser un salaire, vous devez traiter ses données.
Transferts de données intra-groupe et intérêts légitimes
Les transferts de données entre sociétés d'un même groupe (même holding) peuvent partager des données entre elles. Dans certaines situations, le partage peut se produire sur la base d'intérêts légitimes.
Par exemple, la filiale n'a pas d'unité RH et envoie les données à la société mère, où les décisions d'embauche sont prises. Le traitement sera effectué sur la base d'intérêts légitimes.
Dernières pensées
La règle d'or du traitement basé sur les intérêts légitimes est de ne l'utiliser qu'en dernier recours. Si vous pouvez compter sur une autre base légale, comme l'exécution d'un contrat ou le consentement, cela vous mettra du bon côté de la loi.
Si vous pensez que vous devez quand même le faire, assurez-vous d'effectuer le test en trois parties et assurez-vous qu'il y a un avantage pour la personne concernée, ou du moins que ses droits et libertés ne prévalent pas sur les vôtres.
La solution Secure Privacy vous permet de contrôler le suivi de votre mise en conformité. Si vous devez attendre que l'utilisateur s'inscrive, il ne laissera pas les cookies s'installer avant d'obtenir un consentement valide. Trouvez le meilleur plan pour votre organisation et inscrivez-vous ici pour un essai gratuit.