← Tous les articles

consultant

Article 6 RGPD: leçon Intesa/Isybank sur intérêt légitime vs consentement

Le Garante a infligé 17,6 M€ à Intesa pour un transfert de ~2,4 M de clients vers Isybank sans base légale valable. Enseignement clé: l’intérêt légitime ne remplace ni un consentement valable ni la stricte nécessité contractuelle.

Par Expertise Luxgap 26/06/2026

Résumé — Le 12 mars 2026, le Garante italien a sanctionné Intesa Sanpaolo (17,6 M€) pour le transfert, après profilage, d’environ 2,4 millions de clients vers Isybank sans base légale adéquate. Message central: l’intérêt légitime ne remplace ni un consentement valable ni la stricte nécessité au sens de l’article 6 RGPD.

L’affaire

Le Garante per la protezione dei dati personali a reproché à Intesa un profilage préalable (âge, canaux digitaux, absence d’investissements, etc.), une information insuffisante et l’absence de base légale pour un transfert unilatéral vers une entité distincte (Isybank), avec des effets concrets pour les clients (nouvel IBAN, canaux d’accès modifiés, absence d’agences physiques). Décision et communiqué officiels: Provvedimento du 12 mars 2026, Doc‑Web 10230412 et Comunicato stampa du 12/03/2026.

Voir: Garante, Provvedimento 12/03/2026 et fiche “Comunicato stampa” Doc‑Web 10230273 (garanteprivacy.it).

Le raisonnement juridique

  • Base légale (article 6 RGPD). L’opération n’était ni « nécessaire à l’exécution du contrat » (art. 6(1)(b)) ni couverte par un intérêt légitime prépondérant (art. 6(1)(f)). Le Garante lie licéité et transparence aux effets concrets pour les personnes. Source: gpdp.it.
  • Nécessité contractuelle: interprétation stricte EDPB. Les Lignes directrices 2/2019 exigent une « nécessité objective »: le traitement doit être indispensable pour l’objet principal du contrat; l’utile ou l’optimisation ne suffisent pas. Voir EDPB, Guidelines 2/2019 art. 6(1)(b): page EDPB et PDF consolidé.
  • Intérêt légitime: triple test. Démontrer: (i) intérêt légitime déterminé; (ii) nécessité; (iii) balance favorable, documentée (LIA) et transparente. Réf. CNPD: base de licéité et intérêt légitime.
  • Jurisprudence CJUE. Arrêt C‑252/21 (Meta/Bundeskartellamt, 4 juillet 2023): la « nécessité » de l’art. 6(1)(b) suppose une indispensable contribution à l’objet principal du contrat. Voir EUR‑Lex.

En synthèse

L’affaire Intesa/Isybank illustre deux écueils: (1) étendre abusivement l’art. 6(1)(b) à des reconfigurations commerciales; (2) invoquer 6(1)(f) sans LIA robuste ni garanties (information claire, droit d’opposition effectif, canaux alternatifs).

Impacts concrets pour les organisations au Luxembourg

  • Projets de migration/segmentation (banques, assurances, PSF, e‑commerce, B2C): la base légale doit être solide; l’art. 6(1)(b) se limite à ce qui est indispensable au contrat initial. Référence EDPB art. 6(1)(b): edpb.europa.eu. Pour structurer ces choix, impliquez tôt un mandat DPO certifié.
  • Intérêt légitime (6(1)(f)): documentez une LIA complète (finalité, nécessité, proportionnalité, mesures d’atténuation: information proéminente, opt‑out simple, canaux alternatifs). La CNPD insiste sur ces conditions: cnpd.public.lu. Pour la conformité CNPD au Luxembourg, alignez procédures et preuves.
  • Transparence (art. 12‑14): les notifications « cachées » (message discret sans push/SMS) ne satisfont pas aux exigences. Le Garante l’a explicitement critiqué le 12/03/2026: gpdp.it/docweb/10230412.
  • Gouvernance: impliquez le DPO en amont, réalisez une AIPD si nécessaire (ampleur, profilage, effets significatifs), testez information/opposition et concevez des voies alternatives non pénalisantes. Pour cadrer juridiquement vos traitements, consultez aussi les exigences RGPD.

Pièges fréquents constatés en audit

  1. « Nécessité contractuelle » trop large: basculer un client « agence + app » vers « app uniquement » via 6(1)(b) sans prouver l’indispensabilité. Réf. EDPB art. 6(1)(b) et CJUE C‑252/21: edpb.europa.eu.
  2. Intérêt légitime sans LIA: absence de mise en balance, d’information dédiée et d’opt‑out opérationnel. La CNPD attend une LIA structurée: cnpd.public.lu.
  3. Information « pro forma »: un message peu visible dans l’espace client, sans notification active, ne respecte pas les art. 12‑14. Réf. Garante 12/03/2026: gpdp.it.
  4. Profilage sous‑estimé: segmenter pour décider d’un transfert ou d’un changement d’IBAN relève du profilage avec effets significatifs (RGPD art. 4(4), 22). Voir CNIL.
  5. Absence de voie alternative équivalente: un opt‑out complexe ou tardif mine la liberté de choix. Sous 6(1)(f), cela pèse contre le responsable; sous 6(1)(a), cela invalide le consentement.

Sources officielles

Commentaire régulateur pour LU: la CNPD exigera (i) une base légale précisément articulée; (ii) une LIA solide si 6(1)(f) est retenu; (iii) une transparence active; (iv) des voies alternatives non pénalisantes. En cas de doute, sécurisez un consentement explicite. Pour un accompagnement opérationnel, contactez notre équipe DPO ou échangez sur votre programme RGPD au Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd article-6 interet-legitime consentement cnpd
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →