Intérêt légitime vs consentement: CNPD/EDPB durcissent, ICO plus souple
La Cour administrative a confirmé l’analyse de la CNPD dans l’affaire Amazon: l’intérêt légitime n’était pas justifié. Pendant que l’EDPB resserre l’article 6(1)(f), l’ICO le présente comme la base la plus flexible.
Le 27 mars 2026, la CNPD a annoncé que la Cour administrative a confirmé son analyse dans le dossier Amazon: l’intérêt légitime invoqué n’était pas justifié pour les traitements en cause. Dans le même temps, l’EDPB a publié en octobre 2024 des lignes directrices qui resserrent l’usage de l’article 6(1)(f) RGPD, quand l’ICO britannique continue d’en faire la base « la plus flexible ».
Pour les organisations au Luxembourg, il faut aligner les pratiques sur la barre la plus stricte (CNPD/EDPB), même si le Royaume‑Uni laisse plus de latitude. Pour le contexte local, voir la conformité RGPD au Luxembourg et le rappel du cadre de l’article 6 du RGPD. Pour l’opérationnel, un mandat DPO certifié aide à structurer la nécessité et la mise en balance.
L’affaire
La CNPD précise que la Cour administrative a « quasi‑intégralement validé » son approche, et « en particulier, confirmé que le recours à l’intérêt légitime […] n’était pas justifié » pour les traitements considérés. Cette position entérine une lecture exigeante du triptyque de l’article 6(1)(f) — intérêt légitime réel et licite, nécessité du traitement, mise en balance — pour des opérations à large échelle. Source: CNPD, « La CNPD obtient la mise en conformité effective des traitements d’Amazon […] » (27/03/2026). Communiqués FR et EN: lien FR ; lien EN.
En toile de fond, le Comité européen de la protection des données (EDPB) a adopté le 9 octobre 2024 ses Lignes directrices 1/2024 sur l’intérêt légitime (art. 6(1)(f) RGPD). Elles exigent un intérêt « licite, clairement et précisément articulé, réel et présent », une stricte nécessité, et une mise en balance documentée, intégrant l’arrêt CJUE C‑621/22 du 4 octobre 2024 sur la portée d’un intérêt « commercial ». Sources: actu EDPB et résumé PDF: news ; note synthétique.
À l’inverse, l’ICO (UK) présente l’intérêt légitime comme la base « la plus flexible » sous UK GDPR, avec doctrine opérationnelle (tests pas‑à‑pas, cas d’usage) et, depuis 2024–2025, des « recognised legitimate interests » créés par le droit britannique. Sources: Guide ICO ; Recognised legitimate interest. Rappel du texte: article 6 RGPD sur EUR‑Lex.
Le raisonnement juridique
- CNPD et RGPD. Application stricte de l’article 6(1)(f): intérêt précisément déterminé, nécessité (pas d’alternative moins intrusive), et mise en balance démontrant que les droits et libertés ne prévalent pas. L’invocation d’un intérêt commercial générique ou d’« optimisation » échoue souvent lorsque l’ampleur, la sensibilité, la surprise utilisateur ou l’asymétrie d’information pèsent lourd. Source: CNPD (27/03/2026), supra.
- EDPB 1/2024. Les lignes directrices confirment: 1) un intérêt « lawful, clearly and precisely articulated, real and present » ; 2) une stricte nécessité (proportionnalité/subsidiarité) ; 3) une mise en balance documentée, sensible au contexte (échelle, vulnérabilité, attentes raisonnables, transparence, droit d’opposition). Elles intègrent l’arrêt CJUE C‑621/22: un intérêt « commercial » peut être légitime en principe, mais ne dispense jamais de la nécessité ni de la balance in concreto. Sources: EDPB news et résumé PDF ; CJUE C‑621/22: dossier.
- ICO (UK). Approche plus pragmatique: base « la plus flexible » pour des usages attendus et à impact minimal (sécurité, antifraude, amélioration de service, marketing direct hors PECR). Introduction de « recognised legitimate interests » qui allègent partiellement la mise en balance pour certaines finalités encadrées. Source: ICO, supra.
Ce que ça change concrètement
- Marketing B2C et enrichissement de profils. En LU/UE, évitez l’intérêt légitime pour des enrichissements massifs ou des partages sans granularité/contrôle. Préférez un consentement conforme pour les usages non attendus et un opt‑out robuste (art. 21). Sources: CNPD (Amazon), EDPB 1/2024.
- Sécurité, antifraude, résilience. L’intérêt légitime reste pertinent si la nécessité est démontrée (ex. journalisation de sécurité, détection d’anomalies). Documentez la nécessité, minimisez, informez clairement, et prévoyez un droit d’opposition effectif. Source: EDPB 1/2024.
- Intra‑groupe. L’échange interne pour pilotage commercial ou cross‑sell n’est pas « automatique » sous 6(1)(f). Définissez les finalités par entité, testez nécessité et balance; basculez vers consentement ou autre base le cas échéant.
- UK vs UE. Même si l’ICO autorise plus largement l’intérêt légitime (et des « recognised legitimate interests »), les traitements visant des personnes dans l’UE/LU restent soumis au RGPD. Calquez la politique globale sur la barre CNPD/EDPB pour éviter des remaniements par marché. Voir aussi les exigences CNPD.
Pièges fréquents
- Intérêt flou ou « fourre‑tout ». « Améliorer l’expérience » sans finalité précise échoue au test EDPB/CNPD.
- Nécessité non démontrée. Conserver « au cas où » ou tracer « par défaut » n’est pas « nécessaire ».
- Mise en balance cosmétique. Les LIA purement formelles, sans analyse des attentes, de l’échelle et des atténuations (pseudonymisation, granularité, opposition), ne tiennent pas au contrôle.
- Transposition UK au LU. Appliquer les modèles ICO au Luxembourg expose à un risque RGPD.
- Droits ignorés. Droit d’opposition (art. 21) non opérationnel = grief classique. Un DPO CNPD expérimenté peut fiabiliser ces processus.
Sources officielles
- CNPD (Luxembourg) — Communiqué Amazon, 27/03/2026: FR et EN. FR ; EN.
- EDPB — Plénière 09/10/2024: Lignes directrices 1/2024 et note de synthèse: news ; PDF.
- CJUE — Arrêt C‑621/22 (04/10/2024): EUR‑Lex dossier ; JO PDF.
- EUR‑Lex — RGPD, article 6: texte.
- ICO (UK) — « Legitimate interests » et « Recognised legitimate interest »: guide ; page dédiée.
Note de lecture: pour cadrer vos choix de base légale en 2026, alignez‑vous sur la ligne CNPD/EDPB (nécessité et balance élevées). Les assouplissements UK ne s’exportent pas en UE et ne protègent pas au Luxembourg.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →