Évaluation des intérêts légitimes (LIA) — Modèle

Dernière mise à jour : 13 mai 2026

Cette page est le modèle orienté client de l'évaluation des intérêts légitimes (LIA) que Statnive recommande aux opérateurs de documenter lorsqu'ils exécutent une analyse web en propre sans cookies dans l'UE, fondée sur l'article 6, paragraphe 1, point f du RGPD. Sa structure suit les Lignes directrices 1/2024 du CEPD sur l'intérêt légitime du 8 octobre 2024.

Utilisez ce modèle comme point de départ. Adaptez-le au contexte de traitement spécifique de l'opérateur avec un conseil juridique qualifié dans votre juridiction avant publication. Une évaluation des intérêts légitimes documentée est exigée chaque fois que des données personnelles sont traitées au titre de l'article 6, paragraphe 1, point f ; elle ne remplace pas les exigences de consentement à la couche d'accès aux équipements terminaux de l'article 5, paragraphe 3 de la directive ePrivacy lorsque celles-ci s'appliquent.

Étape 1 — Identification de l'intérêt légitime

Responsable du traitement : [nom et adresse enregistrée de l'opérateur]

Intérêts poursuivis :

  • Fonctionnel : exploitation, amélioration et sécurisation du site du responsable du traitement — un intérêt légitime reconnu en vertu de l'arrêt de la CJUE C-582/14 Breyer paras. 60-64 (19 octobre 2016).
  • Commercial : mesure d'audience et engagement avec le contenu — reconnu en vertu de l'arrêt de la CJUE C-621/22 KNLTB paras. 47-49 (4 octobre 2024, ECLI:EU:C:2024:857), qui a confirmé que des intérêts purement commerciaux peuvent être légitimes au titre de l'article 6, paragraphe 1, point f, sous réserve qu'ils soient licites.

Vérification de la licéité :

  • Aucune violation du droit de l'UE ou des États membres.
  • Aucune donnée relevant des catégories particulières de l'article 9 traitée.
  • Aucun profilage automatisé au sens de l'article 22.
  • Les intérêts sont clairement articulés, réels et présents.

Étape 2 — Nécessité

La mesure d'audience ne peut être raisonnablement obtenue par des moyens moins intrusifs tout en produisant les métriques nécessaires aux décisions produit et business. Mesures de minimisation déjà appliquées :

  • Aucun identifiant persistant de l'appareil (pas de cookie, pas de localStorage, pas de fingerprinting).
  • Signature visiteur BLAKE3-HMAC à rotation quotidienne et liée au site ; le sel de la veille est détruit à la rotation.
  • Adresse IP brute écartée avant toute conservation ; seule la partie réseau tronquée (IPv4 /24, IPv6 /48) est brièvement conservée pour la géolocalisation.
  • User-Agent réduit côté serveur à : appareil + version majeure du navigateur + version majeure du système d'exploitation ; chaîne UA brute écartée.
  • Référent réduit au host uniquement ; les chaînes de requête n'entrent jamais en stockage persistant.
  • Agrégation à la dizaine la plus proche dans les tableaux de bord (selon la recommandation CNIL fiche n°16).
  • Conservation maximale des données 25 mois ; suppression automatique via TTL de 750 jours sur les tables de rollup.

Alternatives envisagées :

  • Analyse soumise au consentement — rejetée comme voie principale car la perte de mesure qui en résulte (selon l'étude sur les bandeaux cookies de Plausible, environ 55,6 % des visiteurs refusent ou ferment le bandeau) compromet la nécessité de la mesure.
  • Journaux d'accès bruts — rejetés car les IP brutes présentent un risque de ré-identification plus élevé que le schéma de hachage à sel quotidien.
  • Aucune analyse du tout — rejetée car les données de mesure d'audience sont nécessaires pour exploiter et améliorer le service.

Étape 3 — Test de mise en balance

Intérêts de la personne concernée : article 7 de la Charte (respect de la vie privée) et article 8 (protection des données personnelles).

Nature des données : identifiants indirects (signatures hachées, géolocalisation issue d'IP tronquée, User-Agent réduit) qui deviennent effectivement irréversibles en fin de journée grâce à la destruction du sel. Selon les Lignes directrices 01/2025 du CEPD sur la pseudonymisation, à l'état de projet (adoptées comme projet le 16 janvier 2025), celles-ci restent des données personnelles lorsque la ré-identification est raisonnablement probable ; la rotation quotidienne du sel les place à l'extrémité à faible risque du spectre de la pseudonymisation.

Attentes raisonnables : un visiteur s'attend à ce que l'opérateur connaisse les comptes de visites agrégés et la popularité des pages, et non à une surveillance individuelle inter-jours ou inter-sites. L'architecture correspond à cette attente par construction.

Impact sur la personne concernée :

  • Aucune publicité comportementale.
  • Aucun profilage.
  • Aucun partage de données avec des tiers.
  • Aucune décision affectant la personne concernée.
  • Aucun suivi inter-sites ou inter-jours du visiteur (la rotation du sel empêche les deux).

Mesures d'atténuation :

  • Destruction du sel en fin de journée.
  • Troncature IP à l'ingestion avant tout stockage.
  • Plafond de conservation (25 mois) avec suppression automatique.
  • Point d'accès du droit d'opposition (article 21) exposé à POST /api/privacy/opt-out.
  • Point d'accès du droit d'accès (article 15) à GET /api/privacy/access.
  • Point d'accès du droit à l'effacement (article 17) à POST /api/privacy/erase.
  • Accord de sous-traitance (article 28) en place lorsque applicable — voir le modèle DPA.
  • Résidence des données exclusivement dans l'UE (Nuremberg, Allemagne).
  • GPC et DNT respectés à la couche d'ingestion.
  • Chemins de code open source pour les déploiements auto-hébergés.

Conclusion : les intérêts légitimes poursuivis ne sont pas surpassés par les droits et les attentes raisonnables de la personne concernée. Le traitement est licite au titre de l'article 6, paragraphe 1, point f du RGPD.

Rythme de révision

Cette évaluation est revue au minimum une fois par an, et à chaque changement substantiel concernant :

  • Les données que Statnive traite (nouveaux champs, nouveaux types d'événements).
  • La jurisprudence applicable (par exemple un renvoi à la CJUE affectant l'analyse Breyer ou IAB Europe).
  • Les lignes directrices des régulateurs nationaux (publications CNIL, DSK, Garante, AEPD, AP, ICO).
  • Les évolutions législatives de l'UE (notamment la proposition Digital Omnibus COM(2025) 837).

Couches spécifiques aux pays

Cette évaluation couvre la couche de la base juridique de l'article 6 du RGPD. La couche d'accès aux équipements terminaux de l'article 5, paragraphe 3 de l'ePrivacy est régie séparément par les transpositions nationales et est traitée par l'architecture sans consentement de Statnive (aucun stockage ni accès sur les équipements terminaux ne se produit). Pour les notes spécifiques par juridiction, voir :

  • France — exemption mesure d'audience de la fiche n°16 de la CNIL
  • Allemagne — contrainte serveur-uniquement du § 25 TDDDG
  • Carte pays par pays (IT, ES, NL, BE, IE, UK, AT)

Avertissement

Ce modèle relève de la recherche en matière de protection des données et non du conseil juridique. Chaque client de Statnive demeure responsable du traitement et est responsable de sa propre évaluation des intérêts légitimes et AIPD. Confrontez ce modèle à un conseil juridique qualifié dans votre juridiction avant de le publier sur votre site ou de vous y appuyer dans une inspection des autorités.

Questions

Pour toute question sur le modèle LIA ou pour l'adapter à un déploiement spécifique, contactez support@statnive.com.

Installer Statnive gratuitement