Le Legitimate Interest Assessment (LIA), ou analyse de l’intérêt légitime, est un outil clé du RGPD pour les organismes qui souhaitent traiter des données personnelles sans recourir au consentement. Souvent perçu comme une alternative “plus simple”, l’intérêt légitime est en réalité une base juridique exigeante, qui nécessite une démonstration rigoureuse et documentée.
Dans les secteurs sensibles comme la santé, où les données sont particulièrement protégées, la réalisation d’un LIA devient un exercice stratégique et juridique incontournable.
Qu’est-ce que le LIA (Legitimate Interest Assessment) ?
Le LIA est une méthode d’analyse permettant de vérifier si un traitement de données personnelles peut être fondé sur l’intérêt légitime du responsable de traitement.
L’intérêt légitime est l’une des six bases légales prévues par le RGPD. Il permet de traiter des données sans consentement, à condition que ce traitement soit justifié, proportionné et équilibré.
Concrètement, le LIA sert à répondre à une question centrale :
L’intérêt de l’organisme est-il suffisamment légitime pour ne pas porter atteinte aux droits et libertés des personnes concernées ?
Le cadre réglementaire
Le RGPD encadre strictement l’usage de l’intérêt légitime (article 6.1.f). Il impose notamment :
- Une justification claire de la finalité poursuivie
- Une analyse de nécessité du traitement
- Une mise en balance avec les droits des personnes
Le LIA n’est pas explicitement nommé dans le RGPD, mais il est fortement recommandé par les autorités de contrôle (comme la CNIL ou l’ICO) pour démontrer la conformité.
Dans les faits, il s’inscrit dans le principe de responsabilité (“accountability”) : c’est-à-dire que vous devez être capable de prouver que votre traitement est conforme.
Les 3 étapes du LIA : une méthodologie structurée
Le test de finalité (purpose test)
Il s’agit d’identifier l’intérêt légitime poursuivi.
Ici, l’intérêt décrit doit être :
- Réel et actuel
- Licite
- Suffisamment précis
Le test de nécessité (necessity test)
Vous devez démontrer que le traitement est nécessaire pour atteindre l’objectif.
Cela implique de vérifier :
- Qu’il n’existe pas d’alternative moins intrusive
- Que les données collectées sont strictement nécessaires
Le test de mise en balance (balancing test)
C’est l’étape la plus délicate.
Elle consiste à comparer :
- Les intérêts de l’entité
- Les droits et libertés des personnes concernées
Pourquoi faire appel à un DPO
Faire un LIA est plus complexe qu’il n’y paraît. Le DPO permet de sécuriser la démarche à tous les niveaux :
- Conformité juridique
- Méthodologie claire et structurée
- Analyse des risques
- Construction de la documentation de conformité interne
Focus données sensibles
Dans le secteur de la santé, le recours à l’intérêt légitime est limité, car :
- Les données de santé sont des données sensibles (pour plus de détails sur les données sensibles, reportez-vous à notre article Données Sensibles.
- Leur traitement nécessite en principe une autre base légale (mission d’intérêt public, obligation légale, consentement…)
Questions fréquentes sur le LIA
Le LIA est-il obligatoire ?
Il n’est pas explicitement imposé par le RGPD, mais il est fortement recommandé pour démontrer la conformité. Rédiger un LIA en interne témoigne d’une sensibilité et d’une maturité importante aux yeux des organes de contrôle.
Peut-on utiliser l’intérêt légitime pour la prospection commerciale ?
Oui, dans certains cas, notamment en B2B, mais cela dépend du contexte et nécessite un LIA rigoureux.
Le LIA remplace-t-il le consentement ?
Non. Ce sont deux bases légales distinctes. Le choix dépend du traitement et de son impact.
Le LIA est-il compatible avec les données de santé ?
En principe non, sauf cas spécifiques. Les données de santé nécessitent généralement une base légale plus protectrice.
Combien de temps conserver un LIA ?
Aussi longtemps que le traitement existe, et au-delà en cas de contrôle ou contentieux.