La présente "Explication des intérêts légitimes" fait partie intégrante de la "Base de données de déclaration de confidentialité" de CompanySpotter BV, située Koninginnegracht 46-I à La Haye et inscrite au registre du commerce néerlandais sous le numéro 78391857. Pour toute question concernant le contenu de la présente déclaration ou l'exercice de vos droits en matière de confidentialité, nous avons désigné un délégué à la protection des données qui peut être joint à l'adresse [email protected].
L'intérêt légitime ne peut servir de base juridique au traitement des données à caractère personnel que s'il passe le triple test de la Cour européenne de justice. (1) le critère de l'objet, (2) le critère de la nécessité et (3) le critère de la mise en balance. Il ressort de ce qui suit que le traitement fondé sur l'intérêt légitime (de CompanySpotter) sert de base juridique au traitement des données à caractère personnel, car il passe le triple test. Avant d'expliquer le triple test, nous aborderons le cadre existant dans lequel s'inscrit le traitement.
Le RGDP est un règlement qui vise à protéger les citoyens de l'Union européenne. Ses objectifs reflètent l'engagement de l'Union européenne en faveur du développement durable de l'Europe, fondé sur une croissance économique équilibrée et la stabilité des prix, une économie sociale de marché hautement compétitive. Par la fourniture de ses services, CompanySpotter contribue activement à cet objectif de l'Union européenne.
La règle générale est que la communication de données à caractère personnel n'est autorisée que si elle est compatible avec l'objectif pour lequel elles ont été collectées. Une organisation ne peut pas simplement divulguer des données à caractère personnel à des particuliers ou à d'autres organisations. La question de savoir si c'est le cas dépend des circonstances concrètes. Cela peut donc être différent pour chaque situation, où il est important de juger (entre autres) si la divulgation initiale est compatible avec la finalité du traitement. Dans ce cas, la question principale est de savoir si le traitement des données à caractère personnel a lieu dans un but autre que celui pour lequel les données à caractère personnel ont été collectées.
Les données à caractère personnel traitées par CompanySpotter ont été délibérément partagées publiquement (par exemple via le site web de la société) par les organisations/parties concernées. La personne concernée fournit les informations susmentionnées dans le but de participer activement au commerce. Il s'agit notamment de trouver de nouveaux clients et fournisseurs potentiels, d'être trouvé par de nouveaux clients et fournisseurs potentiels et d'échanger mutuellement des informations pertinentes sur le marché afin de se tenir au courant des évolutions dans son propre secteur, sa propre région et son propre marché. Compte tenu du moment et du contexte de la collecte des données à caractère personnel, la personne concernée peut raisonnablement s'attendre à ce que les données soient traitées ultérieurement conformément à l'objectif de participation active au commerce. En effet, elle contribue activement à renforcer l'objectif initial.
Une fonction importante de CompanySpotter est d'agir comme un moteur de recherche. Le 26 novembre 2014, le groupe de travail Article 29 a publié un avis sur les lignes directrices pour la mise en œuvre de l'arrêt de la CJUE (" Google Spain et Google Inc. c. Agencia Española de Protección de Datos (AEPD) et Mario Costeja González "). L'avis fournit des orientations du groupe de travail pour les opérateurs de moteurs de recherche. L'avis suggère que (entre autres) les questions suivantes sont pertinentes pour évaluer la situation :
En termes d'examen attentif, les considérations pertinentes du RGDP sont les suivantes :
“4. Le traitement des données à caractère personnel devrait être conçu pour servir l'humanité. Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d'expression et d'information, la liberté d'entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
[…]
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale. données à caractère personnel
[…]
47. Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
(propre accentuation)
Les considérations qui précèdent permettent de déduire ce qui suit :
Le manque d'informations commerciales essentielles (correctes) freine le développement de l'économie et entrave sa (re)reprise. En outre, elle porte préjudice à l'économie, et en particulier aux organisations (européennes), en exposant les entreprises saines aux conséquences pernicieuses de la conclusion de contrats avec des entreprises insolvables ou même voyous. Des informations commerciales actualisées permettent aux organisations d'explorer de nouveaux segments de marché de manière ciblée, notamment grâce à l'accès à des données pertinentes relatives aux groupes cibles ou au segment de marché des entreprises. Ces entreprises peuvent ainsi générer des affaires supplémentaires, saines et donc rentables.
En ce sens, le traitement des données crée un " « level playing field »" dans la mesure où non seulement les grandes entreprises ont accès aux informations commerciales, mais les petites entreprises peuvent également éviter les conséquences néfastes d'un contrat avec des entreprises insolvables ou même malhonnêtes, peuvent maintenir à jour leurs bases de données commerciales soigneusement constituées et ont la possibilité de prospecter de manière ciblée (sans avoir à contacter des entreprises au hasard, par exemple).
Dans le contexte de la responsabilité sociale des entreprises, de la réduction des nuisances causées par le marketing direct non désiré, de la stimulation de la concurrence et de la prévention des positions de monopole, CompanySpotter remplit un rôle important.
CompanySpotter a un intérêt actuel à traiter les données à caractère personnel afin de les mettre à la disposition de ses clients. Cela implique des objectifs de traitement concrets et prédéterminés. Les données que CompanySpotter met à la disposition de ses clients répondent à des objectifs multiples, notamment des objectifs de marketing, des capacités d'analyse, la gestion des données et l'atténuation des risques financiers et la prévention de la fraude, Étant donné que des finalités concrètes et prédéterminées de traitement ont été établies, le critère de la finalité est rempli.
Le traitement doit être nécessaire à la réalisation des intérêts poursuivis, en examinant si les objectifs susmentionnés ne peuvent pas être atteints raisonnablement et aussi efficacement par d'autres moyens, moins préjudiciables aux droits de la personne concernée. Ce test doit être examiné en liaison avec le principe du traitement minimal des données.
Le traitement des données à caractère personnel est nécessaire à la réalisation de l'objectif social de CompanySpotter et donc à ses activités, telles qu'elles sont enregistrées, entre autres, auprès de la Chambre de commerce néerlandaise par le biais du code SBI (le code attribué par l'Union européenne et ses États membres à une certaine catégorie d'activités économiques commerciales ou non commerciales). Il s'agit d'activités de services dans le domaine des technologies de l'information, notamment le développement, la production et l'édition de logiciels. Et en ce qui concerne l'information et la communication, l'édition de bases de données.
En outre, CompanySpotter a mis en place diverses mesures pour un traitement minimal des données. Après tout, l'intention de CompanySpotter est de commercialiser des informations sur les entreprises et non des informations sur les personnes physiques (non-entreprises). Afin de limiter strictement sa base de données aux informations commerciales, CompanySpotter prend diverses mesures pour minimiser le traitement des données à caractère personnel. En conséquence, les données traitées par CompanySpotter sont limitées aux données nécessaires à la poursuite des objectifs décrits ci-dessus. Enfin, CompanySpotter ne conserve pas les données plus longtemps que nécessaire.
Le traitement étant nécessaire à la réalisation des intérêts et des finalités poursuivis, le critère de nécessité est rempli.
Il convient d'évaluer si les intérêts poursuivis par CompanySpotter l'emportent sur les droits fondamentaux des personnes concernées, en tenant compte des circonstances particulières du cas concret et des attentes raisonnables des personnes concernées.
Cette mise en balance s'effectue sur la base des éléments suivants : la nature des données à caractère personnel concernées et l'"intensité" du traitement, les modalités concrètes du traitement et de l'accès aux données et les attentes raisonnables de la personne concernée selon lesquelles ses données à caractère personnel ne seront pas traitées lorsque, dans les circonstances de l'espèce, elle ne peut raisonnablement s'attendre à un traitement ultérieur.
En ce qui concerne la nature des données à caractère personnel concernées et l'"intensité" du traitement, on peut conclure que les données sont principalement des informations commerciales et que CompanySpotter ne traite aucune donnée à caractère personnel sensible. Néanmoins, on peut en déduire - en général - que CompanySpotter doit évaluer le risque de violation et, ce faisant, examiner la portée de cette violation en termes de droits de la personne concernée. Dans ce contexte, les éléments suivants sont pris en compte :
En ce qui concerne la méthode concrète de traitement et l'accès aux données, il est important de conclure que CompanySpotter gère les données dans un environnement sécurisé qui a été conçu sur mesure à ces fins et fournit un niveau de sécurité approprié pour ce traitement. L'accès à (aux données à caractère personnel incluses dans) les données est strictement limité aux clients de CompanySpotter. Ces clients ne sont autorisés à accéder à ces données qu'après s'être engagés à respecter les conditions générales de CompanySpotter (et autres documents contractuels). Ces documents contractuels définissent strictement la manière dont les données doivent être traitées, en tenant compte du RGDP ainsi que de la législation spéciale supplémentaire.
Avant que CompanySpotter ne commence ses activités opérationnelles, une analyse des risques liés à la sécurité de l'information a eu lieu. Cela nous a permis d'identifier les zones de risque potentiel et des mesures (de sécurité) appropriées ont été prises à leur égard. Cette analyse des risques est revue à intervalles réguliers afin de s'assurer qu'elle est toujours à jour et que toutes les mesures sont conformes à la situation actuelle et anticipent les risques potentiels dans un avenir prévisible.
En ce qui concerne les attentes raisonnables des personnes concernées que leurs données à caractère personnel ne seront pas traitées lorsque, dans les circonstances de l'espèce, elles ne peuvent raisonnablement s'attendre à un traitement ultérieuril convient de noter que les attentes des personnes concernées dépendent (dans une certaine mesure) du fait que les données concernées sont déjà disponibles dans des sources accessibles au public. Le cas échéant, il convient de supposer qu'une atteinte moindre aux droits des personnes concernées est possible. Les données à caractère personnel traitées par CompanySpotter ne concernent que les représentants des entreprises. Outre le nom de ce représentant, les données de contact enregistrées par celui-ci, telles que l'adresse, l'adresse électronique et le numéro de téléphone, ne sont intégrées dans la base de données qu'en tant que données de contact de l'organisation concernée. Ces données ont été délibérément partagées publiquement (par exemple, via le site web de l'entreprise) par les organisations concernées/parties impliquées. Compte tenu de ces éléments, le traitement n'est pas susceptible d'avoir un impact négatif sur les droits de la personne concernée.
Les personnes concernées fournissent les informations susmentionnées au public dans le but de participer activement au commerce. Compte tenu du moment et du contexte de la collecte des données à caractère personnel, la personne concernée peut raisonnablement s'attendre à ce que ses données soient traitées ultérieurement conformément à l'objectif de participation active au commerce.
Comme les données sont déjà publiques dans tous les cas, l'atteinte aux droits des personnes concernées est donc moindre. En particulier, les personnes concernées peuvent plutôt s'attendre à un traitement ultérieur des données à caractère personnel (accessibles au public).
Étant donné que les intérêts de CompanySpotter, compte tenu des mesures fournies par CompanySpotter, l'emportent sur les droits de la personne concernée, la troisième condition est remplie.