LIA (Legitimate Interest Assessment)

Qu’est-ce que la LIA ?

La LIA (Legitimate Interest Assessment) est le document RGPD obligatoire pour justifier un traitement de données personnelles basé sur l’intérêt légitime (article 6(1)(f) du RGPD), plutôt que sur le consentement explicite de l’utilisateur.

C’est un test en trois étapes :

  1. Identification de l’intérêt légitime — quel objectif business poursuit-on ?
  2. Nécessité — le traitement est-il réellement nécessaire à cet objectif ?
  3. Équilibre des intérêts — l’intérêt légitime l’emporte-t-il sur les droits et libertés de l’utilisateur ?

Quand une LIA est obligatoire dans l’analytics

Trois cas typiques où une LIA documentée est nécessaire :

En mode Advanced, Google reçoit des pings cookieless avant consentement explicite de l’utilisateur. Ces pings ne contiennent pas d’identifiant utilisateur, mais ils sont des données. La base légale ne peut pas être le consentement (puisqu’il n’a pas été donné) — c’est donc l’intérêt légitime, à documenter en LIA.

2. Tracking server-side (sGTM)

Sur les missions sGTM, certains traitements côté serveur (enrichissement, hashing de PII, transmission API à Meta/Google) peuvent reposer sur l’intérêt légitime selon la configuration. Le DPO doit le valider en LIA.

3. Scoring comportemental B2B

Quand on construit un scoring de leads en BigQuery basé sur le comportement utilisateur, le traitement peut reposer sur l’intérêt légitime (sales). LIA à documenter.

Que contient une LIA bien rédigée

Une LIA standard pour le Consent Mode Advanced contient :

  • Description précise du traitement : pings cookieless, données collectées (User-Agent, timestamp, page, type d’event), pas d’identifiant utilisateur
  • Finalité : permettre la mesure analytics et l’optimisation publicitaire même en refus de cookies
  • Test de nécessité : pourquoi cette modélisation est-elle nécessaire vs alternatives
  • Test d’équilibre : impact pour l’utilisateur (faible, données anonymisées) vs intérêt entreprise (significatif sur ROI campagnes)
  • Mesures de protection : minimisation données, hashing PII, durée de conservation, possibilité opt-out
  • Conclusion : oui ou non l’intérêt légitime l’emporte

Qui rédige la LIA ?

Le DPO interne idéalement. Si pas de DPO interne, un consultant RGPD spécialisé ou un cabinet juridique. Je ne suis pas juriste — je peux fournir le périmètre technique et le contenu factuel, mais la rédaction juridique finale est du ressort d’un DPO ou avocat spécialisé.

Pour aller plus loin

Un audit ou un setup à cadrer ?

Trente minutes en visio pour qualifier votre besoin et savoir si je suis le bon interlocuteur. Premier échange gratuit, sans engagement. Si je ne suis pas le bon, je vous oriente.

Réserver 30 minutes Voir les tarifs

Sans surprise : forfaits affichés en clair, devis validé avant kick-off, pas d'avenant.