Comprendre la base légale des traitements : consentement, contrat, intérêt légitime …

Dans le cadre du Règlement Général sur la Protection des Données (RGPD), toute organisation qui collecte ou traite des données personnelles doit s’appuyer sur une base légale clairement identifiée. Sans base légale, le traitement est illicite, ce qui expose à des sanctions de la CNIL ou d’autres autorités de contrôle.

Le choix de cette base légale n’est pas un détail administratif : il conditionne la licéité du traitement, les droits des personnes concernées, et les obligations du responsable de traitement. Cet article didactique vous guide à travers chacune des bases légales prévues par le RGPD, leurs spécificités, leurs usages et leurs implications pratiques.

Qu’est-ce qu’une base légale de traitement ?

Une base légale est le fondement juridique qui autorise le traitement de données personnelles d’une personne. Selon l’article 6 du RGPD, tout traitement doit reposer sur l’une des bases légales listées.

👉 Cela signifie que dès que vous collectez, stockez, modifiez, transférez ou exploitez des données personnelles, vous devez être capables de répondre à deux questions :

1. Pourquoi vous traitez ces données (finalité) ?
2. Sur quelle base juridique ce traitement est autorisé ?

Ne pas répondre à ces deux questions expose votre organisation à des sanctions.

Les six bases légales du RGPD

Selon l’article 6, alinéa 1 du RGPD, voici les six bases légales possibles :

1. Le consentement de la personne concernée
2. La nécessité pour l’exécution d’un contrat
3. La nécessité pour respecter une obligation légale
4. La sauvegarde des intérêts vitaux
5. La nécessité pour l’exécution d’une mission d’intérêt public ou d’un exercice d’autorité publique
6. Les intérêts légitimes du responsable de traitement ou d’un tiers, sauf si les intérêts ou droits des personnes l’emportent

1. Le consentement : quand et comment

Définition

Le consentement est une base légale très connue, mais souvent mal comprise. Il s’agit d’un accord libre, spécifique, éclairé et univoque donné par la personne pour un traitement précis de ses données.

👉 Libre : l’utilisateur ne doit pas subir de pression ou de contrainte.
👉 Spécifique et éclairé : il sait exactement à quoi il consent.
👉 Univoque : l’action qu’il réalise indique clairement son accord (pas de cases pré-cochées).

Exemples courants

• Consentement pour l’envoi de newsletters
• Autorisation d’enregistrement vocal dans une application
• Accord donné via un formulaire de collecte

📌 Points essentiels à retenir

• Le consentement doit être documenté et facile à retirer.
• Il ne peut être valable que si la personne peut refuser aussi facilement qu’elle accepte.
• Le consentement est particulièrement adapté pour les traitements non indispensables à un service (ex. prospection commerciale).

À retenir : le consentement est utile, mais ce n’est pas obligatoire pour tous les traitements.

2. Nécessité à l’exécution d’un contrat

Définition

Cette base légale couvre les traitements nécessaires à la conclusion ou à l’exécution d’un contrat auquel la personne est partie.

👉 Il ne s’agit pas d’une simple mention dans vos CGV : le traitement doit être objectivement nécessaire pour remplir les obligations contractuelles.

Exemples typiques

• Traitement des informations de facturation pour un achat
• Envoi de confirmation de commande
• Collecte de données d’un salarié dans un contrat de travail

⚠️ Attention

Si une donnée n’est pas strictement nécessaire à l’exécution du contrat, cette base ne doit pas être utilisée pour ce traitement.

À retenir : validité uniquement si le traitement est indispensable à l’exécution du contrat.

3. Obligation légale

Définition

Il s’agit des traitements nécessaires pour respecter une obligation prévue par la loi ou une réglementation.

👉 Par exemple : obligations comptables, fiscales, sociales, conservation de documents légaux, déclarations administratives.

Exemples pratiques

• Conservation des données financières pour la durée légale requise
• Archivage à des fins fiscales
• Réponse à des obligations imposées par une autorité

📌 À retenir : inutile d’obtenir un consentement si la loi vous impose de traiter les données.

4. Intérêts vitaux

Définition

Cette base légale du RGPD s’applique uniquement lorsque le traitement est strictement nécessaire pour protéger la vie d’une personne.

Exemples : situations d’urgence médicale, identification d’un patient inconscient.

📌 À retenir : très rare en pratique, et réservé à des cas d’urgence avérée.

5. Mission d’intérêt public ou autorité publique

Définition

Une organisation (gouvernement, collectivité locale, service public) peut traiter des données si cela est nécessaire à l’accomplissement d’une mission d’intérêt public ou à l’exercice de l’autorité publique confiée par la loi.

👉 Par exemple : gestion de données dans le cadre de la santé publique, statistiques officielles, services administratifs.

📌 À retenir : applicable majoritairement aux autorités publiques ou organismes mandatés par la loi.

6. Intérêts légitimes

Définition

La base la plus souple mais aussi la plus complexe : les traitements sont permis s’ils sont nécessaires pour des intérêts légitimes de l’organisation ou d’un tiers, à condition que ces intérêts ne soient pas supplantés par les droits et libertés fondamentaux des personnes.

Quand l’utiliser ?

Cette base s’applique souvent quand :

• il n’y a ni contrat ni obligation légale pour justifier le traitement ;
• vous devez traiter des données pour des besoins internes tels que : sécurité, prévention de fraude, amélioration de services, etc.

🔍 La règle des 3 étapes

Pour justifier ce choix, il faut :

1. Identifier un intérêt légitime (raisonnable, licite et clair)
2. Vérifier que le traitement est nécessaire pour atteindre cet objectif
3. Effectuer un “test d’équilibre” entre l’intérêt et les droits de la personne

📌 À retenir : cette base exige une évaluation et une documentation solide.

📌 Points essentiels à retenir

• Ne peut pas être utilisée par les autorités publiques dans l’exercice de leurs missions.
• Donne lieu au droit d’opposition pour la personne concernée.
• Nécessite souvent un registre de justification ou une analyse d’impact.

Choisir la bonne base : conseils pratiques

Le choix doit être motivé par les finalités réelles du traitement et non par la facilité. Voici une démarche simple :

1. Analyse du traitement : objectifs, données collectées, risques
2. Élimination des bases inapplicables
3. Justification documentée
4. Information des personnes via votre politique de confidentialité
5. Mise à jour de vos mentions légales si la base évolue

👉 Chaque base légale a des implications différentes sur les droits des personnes (ex. droit à la portabilité, droit d’opposition, possibilité de retrait du consentement).

💡 Pour aller plus loin :

• European Data Protection Board – bases juridiques (FR) – https://www.edpb.europa.eu/sme-data-protection-guide/faq-frequently-asked-questions/answer/what-are-legal-basics-processing_fr EDPB
• ICO – Legitimate Interests guidance (EN) – https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/legitimate-interests/what-is-the-legitimate-interests-basis/?q=override ICO
• GDPR Article 6 – texte officiel – https://gdpr-info.eu/art-6-gdpr/ RGPD

La compréhension et le bon choix de la base légale de traitement sont des éléments essentiels pour assurer la conformité au RGPD.
Ce choix impacte non seulement la légalité du traitement, mais aussi la manière dont vous informez les personnes concernées et gérez leurs droits.

👉 Au final, il n’existe pas de “meilleure base légale” universelle : celle-ci dépend du contexte, de la finalité du traitement et du profil des données traitées. Parlons-en !