Partage intra‑groupe: intérêt légitime admis par la CNIL, « transfert » pour la CNPD

Fait ancré: en novembre 2024, le CEPD a publié des lignes directrices sur l’article 6(1)(f) RGPD (intérêt légitime). Divergence clé en 2026: la CNIL considère l’intérêt légitime pertinent pour des « finalités administratives internes » au sein d’un groupe, tandis que la CNPD rappelle qu’un partage entre entités du groupe constitue un transfert entre responsables distincts, soumis aux exigences de transparence et, le cas échéant, du chapitre V. En bref: un partage intra‑groupe ne peut pas se limiter à cocher « intérêt légitime ».

L’affaire

• Le 20 novembre 2024, le CEPD met en consultation ses Lignes directrices 1/2024 sur l’article 6(1)(f) RGPD (intérêt légitime), qui structurent le test en trois étapes et rappellent la forte exigence de nécessité et de mise en balance, notamment pour des réutilisations et partages de données. Voir EDPB, Guidelines 1/2024.
• Position française: la CNIL illustre que l’intérêt légitime peut fonder des traitements « portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne ». Référence: page « L’intérêt légitime » de la CNIL (version 2026). CNIL.
• Position luxembourgeoise: la CNPD rappelle que « les entités qui font partie du même groupe d’entreprises peuvent être considérées comme des responsables de traitement ou des sous‑traitants distincts et que les divulgations de données entre ces entités pourraient être considérées comme des transferts de données à caractère personnel ». Autrement dit: un partage intra‑groupe est une communication à un autre responsable et, hors EEE, un transfert soumis au chapitre V. CNPD — Notion de transfert vers un pays tiers.

Cette juxtaposition — CEPD (cadre exigeant), CNIL (ouverture pour l’administratif interne), CNPD (qualification « transfert » entre entités du groupe) — crée une ligne de crête opérationnelle pour les groupes établis ou actifs au Luxembourg.

Le raisonnement juridique

• Base légale en présence: article 6(1)(f) RGPD, intérêt légitime. Il suppose: 1) un intérêt légitime du responsable ou d’un tiers, 2) une stricte nécessité du traitement pour atteindre cet intérêt, 3) une mise en balance où ne doivent pas prévaloir les intérêts ou libertés fondamentales des personnes. Voir RGPD, art. 6(1)(f) sur EUR‑Lex et les Lignes directrices 1/2024 du CEPD. EDPB 1/2024.
• Lecture EDPB (2024): l’intérêt légitime n’est ni résiduel ni « passe‑partout »; la nécessité doit être démontrée par rapport à une finalité précise (pas une « commodité » de groupe). Les réutilisations et partages doivent rester compatibles avec les attentes raisonnables et faire l’objet d’informations claires (art. 13‑14) et, si besoin, de mesures d’atténuation (minimisation, pseudonymisation, opt‑out, etc.). EDPB 1/2024.
• Lecture CNIL: la CNIL cite, parmi les cas usuels de l’art. 6(1)(f), des opérations « au sein d’un groupe d’entreprises à des fins de gestion administrative interne » — par exemple, mutualiser certaines fonctions support. Cette ouverture exige une mise en balance réelle, des garanties (accès strictement nécessaire, durées courtes, traçabilité) et une information loyale. CNIL.
• Lecture CNPD (qualification « transfert »): les entités d’un même groupe restent, en principe, des responsables distincts; toute communication entre elles constitue une « divulgation » à un autre responsable. Si le destinataire est hors EEE, les art. 44‑49 s’appliquent (décision d’adéquation, SCC/BCR/DPF selon le cas). En pratique: cartographier les flux, adapter les mentions (destinataires/catégories), et prévoir un fondement du chapitre V hors EEE. CNPD — Notion de transfert.

Ce que ça change concrètement

Centralisation RH de base

• En France: un raisonnement « intérêt légitime — administratif interne » peut aboutir si la nécessité est démontrée et les garanties sont solides (accès besoin‑d’en‑connaître, minimisation, conservation limitée). CNIL.
• Au Luxembourg: ce flux est un partage à un autre responsable; il faut l’indiquer dans les mentions (destinataires/catégories), l’inscrire au registre (art. 30), documenter le test en trois étapes (EDPB 1/2024), et, si l’entité « hub » est hors EEE, appliquer un outil du chapitre V (SCC, BCR, décision d’adéquation/DPF). CNPD ; EDPB 1/2024.

Mutualisation CRM pour ventes croisées

• Le marketing direct B2C est sensible en « intérêt légitime »; l’EDPB 1/2024 exige vigilance et alignement avec les attentes raisonnables. En cas de profilage/ciblage, le consentement (art. 6(1)(a)) devient souvent requis — a minima, prévoir un droit d’opposition effectif. EDPB 1/2024.

Partage anti‑fraude/compliance (KYC/AML)

• Possible sous 6(1)(f) si strictement nécessaire et proportionné, avec journalisation et cloisonnement. Selon la localisation des entités, prévoir SCC/BCR: le simple fait d’être « du même groupe » ne dispense d’aucun mécanisme de transfert. CNPD — Notion de transfert.

Pièges fréquents

1. Confondre « groupe = même responsable ». Faux: les entités du groupe sont, en principe, des responsables/sous‑traitants distincts; un partage est une divulgation, potentiellement un transfert soumis au chapitre V. CNPD.
2. Cocher « intérêt légitime » sans test documenté. L’EDPB 1/2024 impose de démontrer l’intérêt, la stricte nécessité et la mise en balance, avec des mesures d’atténuation concrètes (pseudonymisation, limitation d’accès, opt‑out effectif). EDPB.
3. Oublier l’information claire des personnes (art. 13‑14) sur les destinataires/catégories intra‑groupe et les pays tiers. Mentionner « Groupe XYZ » seul peut être trop générique; préciser les catégories et, hors EEE, les mécanismes utilisés. EDPB 1/2024.
4. Réutiliser des données clients pour de la prospection croisée « parce que c’est le même groupe ». La CNIL admet l’IL pour l’administratif interne; pour du marketing, l’IL devient risqué et le consentement souvent nécessaire, avec un droit d’opposition effectif. CNIL.
5. Négliger le chapitre V dès qu’une entité de consolidation, un centre de services ou un prestataire intra‑groupe est hors EEE. BCR, SCC ou décision d’adéquation/DPF restent indispensables vers un pays tiers. CNPD.

Sources officielles

• EDPB — Guidelines 1/2024 on processing based on Article 6(1)(f) GDPR: edpb.europa.eu
• CNIL — Base légale « Intérêt légitime »: cnil.fr
• CNPD (Luxembourg) — Notion de transfert vers un pays tiers: cnpd.public.lu
• RGPD — Texte consolidé (art. 6(1)(f), 13‑14, 30, 44‑49) sur EUR‑Lex: eur-lex.europa.eu
• Contexte « responsable/conjoint/sous‑traitant » — Lignes directrices EDPB: cnpd.public.lu

Conclusion opérationnelle

Au Luxembourg en mai 2026, un partage intra‑groupe fondé sur l’intérêt légitime reste possible pour des finalités administratives internes, mais il doit respecter la grille EDPB (nécessité/mise en balance), être pleinement transparent, et — point souvent oublié — être traité comme un « transfert » entre responsables distincts avec, hors EEE, un mécanisme du chapitre V. Une gouvernance de registre (art. 30), des mentions d’information précises et un dossier de test 6(1)(f) opposable deviennent la base de vos contrôles CNPD. Pour structurer ces exigences, vous pouvez vous appuyer sur une mission de DPO certifié et cadrer vos obligations RGPD au Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.