← Tous les articles

consultant

Intérêt légitime vs consentement: CNPD/EDPB durcissent, ICO plus souple

La Cour administrative a confirmé l’analyse de la CNPD dans l’affaire Amazon: l’intérêt légitime n’était pas justifié. Pendant que l’EDPB resserre l’article 6(1)(f), l’ICO le présente comme la base la plus flexible.

Le 27 mars 2026, la CNPD a annoncé que la Cour administrative a confirmé son analyse dans le dossier Amazon: l’intérêt légitime invoqué n’était pas justifié pour les traitements en cause. Dans le même temps, l’EDPB a publié en octobre 2024 des lignes directrices qui resserrent l’usage de l’article 6(1)(f) RGPD, quand l’ICO britannique continue d’en faire la base « la plus flexible ».

Pour les organisations au Luxembourg, il faut aligner les pratiques sur la barre la plus stricte (CNPD/EDPB), même si le Royaume‑Uni laisse plus de latitude. Pour le contexte local, voir la conformité RGPD au Luxembourg et le rappel du cadre de l’article 6 du RGPD. Pour l’opérationnel, un mandat DPO certifié aide à structurer la nécessité et la mise en balance.

L’affaire

La CNPD précise que la Cour administrative a « quasi‑intégralement validé » son approche, et « en particulier, confirmé que le recours à l’intérêt légitime […] n’était pas justifié » pour les traitements considérés. Cette position entérine une lecture exigeante du triptyque de l’article 6(1)(f) — intérêt légitime réel et licite, nécessité du traitement, mise en balance — pour des opérations à large échelle. Source: CNPD, « La CNPD obtient la mise en conformité effective des traitements d’Amazon […] » (27/03/2026). Communiqués FR et EN: lien FR ; lien EN.

En toile de fond, le Comité européen de la protection des données (EDPB) a adopté le 9 octobre 2024 ses Lignes directrices 1/2024 sur l’intérêt légitime (art. 6(1)(f) RGPD). Elles exigent un intérêt « licite, clairement et précisément articulé, réel et présent », une stricte nécessité, et une mise en balance documentée, intégrant l’arrêt CJUE C‑621/22 du 4 octobre 2024 sur la portée d’un intérêt « commercial ». Sources: actu EDPB et résumé PDF: news ; note synthétique.

À l’inverse, l’ICO (UK) présente l’intérêt légitime comme la base « la plus flexible » sous UK GDPR, avec doctrine opérationnelle (tests pas‑à‑pas, cas d’usage) et, depuis 2024–2025, des « recognised legitimate interests » créés par le droit britannique. Sources: Guide ICO ; Recognised legitimate interest. Rappel du texte: article 6 RGPD sur EUR‑Lex.

Le raisonnement juridique

  • CNPD et RGPD. Application stricte de l’article 6(1)(f): intérêt précisément déterminé, nécessité (pas d’alternative moins intrusive), et mise en balance démontrant que les droits et libertés ne prévalent pas. L’invocation d’un intérêt commercial générique ou d’« optimisation » échoue souvent lorsque l’ampleur, la sensibilité, la surprise utilisateur ou l’asymétrie d’information pèsent lourd. Source: CNPD (27/03/2026), supra.
  • EDPB 1/2024. Les lignes directrices confirment: 1) un intérêt « lawful, clearly and precisely articulated, real and present » ; 2) une stricte nécessité (proportionnalité/subsidiarité) ; 3) une mise en balance documentée, sensible au contexte (échelle, vulnérabilité, attentes raisonnables, transparence, droit d’opposition). Elles intègrent l’arrêt CJUE C‑621/22: un intérêt « commercial » peut être légitime en principe, mais ne dispense jamais de la nécessité ni de la balance in concreto. Sources: EDPB news et résumé PDF ; CJUE C‑621/22: dossier.
  • ICO (UK). Approche plus pragmatique: base « la plus flexible » pour des usages attendus et à impact minimal (sécurité, antifraude, amélioration de service, marketing direct hors PECR). Introduction de « recognised legitimate interests » qui allègent partiellement la mise en balance pour certaines finalités encadrées. Source: ICO, supra.

Ce que ça change concrètement

  • Marketing B2C et enrichissement de profils. En LU/UE, évitez l’intérêt légitime pour des enrichissements massifs ou des partages sans granularité/contrôle. Préférez un consentement conforme pour les usages non attendus et un opt‑out robuste (art. 21). Sources: CNPD (Amazon), EDPB 1/2024.
  • Sécurité, antifraude, résilience. L’intérêt légitime reste pertinent si la nécessité est démontrée (ex. journalisation de sécurité, détection d’anomalies). Documentez la nécessité, minimisez, informez clairement, et prévoyez un droit d’opposition effectif. Source: EDPB 1/2024.
  • Intra‑groupe. L’échange interne pour pilotage commercial ou cross‑sell n’est pas « automatique » sous 6(1)(f). Définissez les finalités par entité, testez nécessité et balance; basculez vers consentement ou autre base le cas échéant.
  • UK vs UE. Même si l’ICO autorise plus largement l’intérêt légitime (et des « recognised legitimate interests »), les traitements visant des personnes dans l’UE/LU restent soumis au RGPD. Calquez la politique globale sur la barre CNPD/EDPB pour éviter des remaniements par marché. Voir aussi les exigences CNPD.

Pièges fréquents

  1. Intérêt flou ou « fourre‑tout ». « Améliorer l’expérience » sans finalité précise échoue au test EDPB/CNPD.
  2. Nécessité non démontrée. Conserver « au cas où » ou tracer « par défaut » n’est pas « nécessaire ».
  3. Mise en balance cosmétique. Les LIA purement formelles, sans analyse des attentes, de l’échelle et des atténuations (pseudonymisation, granularité, opposition), ne tiennent pas au contrôle.
  4. Transposition UK au LU. Appliquer les modèles ICO au Luxembourg expose à un risque RGPD.
  5. Droits ignorés. Droit d’opposition (art. 21) non opérationnel = grief classique. Un DPO CNPD expérimenté peut fiabiliser ces processus.

Sources officielles

  • CNPD (Luxembourg) — Communiqué Amazon, 27/03/2026: FR et EN. FR ; EN.
  • EDPB — Plénière 09/10/2024: Lignes directrices 1/2024 et note de synthèse: news ; PDF.
  • CJUE — Arrêt C‑621/22 (04/10/2024): EUR‑Lex dossier ; JO PDF.
  • EUR‑Lex — RGPD, article 6: texte.
  • ICO (UK) — « Legitimate interests » et « Recognised legitimate interest »: guide ; page dédiée.

Note de lecture: pour cadrer vos choix de base légale en 2026, alignez‑vous sur la ligne CNPD/EDPB (nécessité et balance élevées). Les assouplissements UK ne s’exportent pas en UE et ne protègent pas au Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →