« L’intérêt légitime » est une bonne base légale pour le traitement nécessaire au fonctionnement de l’Organisation, mais certaines exigences doivent être prises en considération.
L’intérêt en question doit être clair, par exemple créer une bonne expérience utilisateur, protéger les actifs, prévenir la fraude, gérer l’administration interne, etc… Cet intérêt sera en principe exprimé dans l’avis de confidentialité et représentera l’objectif du traitement.
Le traitement des données doit être requis par l’intérêt légitime et il ne doit pas exister d’autres moyens moins intrusifs pouvant atteindre ce même intérêt.
Le traitement doit respecter les principes généraux de la protection de la vie privée, notamment le devoir d’être transparent, d’avoir un objectif défini, de collecter le minimum de données et que ces dernières soient à jour.
Il doit pouvoir être démontré qu’il n’existe pas d’intérêt prépondérant de l’individu au respect à la vie privée. Cela ne sera généralement pas un problème si vous analysez les points suivants:
a) Quels sont les risques pour l’individu?
b) Quelles peuvent être les attentes raisonnables des individus en matière de vie privée?
L’analyse peut toutefois être plus complexe dans certaines situations, par exemple concernant l’usage de photos.
Lorsque vous n’êtes pas sûr des risques pour l’individu, vous devriez vous référer à l’ODP.