Sur quelle base légale du RGPD s'appuyer pour traiter des données personnelles ?

L’article 6 du RGPD délimite les conditions de licéité du traitement. Il s’agit du fondement légal autorisant le responsable du traitement à collecter et utiliser des données personnelles. On parle aussi de “base légale”. 6 bases légales sont prévues par le RGPD. 

Aucune autre justification ne saurait autoriser un responsable du traitement à collecter et utiliser les données des personnes concernées.

Vous devez savoir sur quelle base légale vous appuyer pour justifier votre traitement en amont de sa mise en œuvre. Il s’agit d’une information à transmettre obligatoirement à la personne concernée. 

Dans cet article, nous aborderons : 

  • la fonction des bases légales;
  • la définition de chaque base légale,
  • comment déterminer la base légale adaptée au traitement des données. 

1- A quoi servent les bases légales du RGPD ? 


L’article 6 du RGPD liste les conditions dans lesquelles le traitement des données personnelles est autorisé. Le responsable du traitement doit obligatoirement s’appuyer sur l’une de ces bases légales s’il entend pouvoir traiter des données personnelles.


 💡 Rappelons qu’au sens du RGPD, constitue une donnée personnelles, toute information directe ou indirecte se rapportant à une personne physique identifiée ou identifiable. Son périmètre est donc très large. 

Les bases légales du RGPD permettent de s’assurer que le responsable du traitement collecte et utilise légalement des données personnelles. Il s'agit du fondement juridique autorisant un responsable de du traitement à utiliser des données personnelles.

De plus, à chaque fois qu’un traitement de données personnelles est mis en œuvre, le responsable doit l’indiquer dans un document appelé registre de traitement. Il est recommandé d’y indiquer la base légale justifiant ce traitement. 

2 - Quelles sont les 6 bases légales du RGPD ? 


L’article 6 du RGPD prévoit que le traitement n’est licite que si l’une des conditions suivantes est remplie :

1- Recueil du consentement 


Il est possible de traiter des données personnelles si la personne concernée a consenti au traitement de ses données personnelles pour une finalité ou plusieurs finalités spécifiques. 

Le consentement est défini à l’article 4.11 du RGPD : il s’agit de “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement “. 


Cela implique que le responsable du traitement n’est autorisé à procéder au traitement des données personnelles qu’à condition :

  • de recueillir préalablement le consentement de la personne concernée,
  • et d'en assurer la validité, c’est-à-dire de s’assurer que ce consentement soit libre, spécifique, éclairé et univoque.


2- Exécution d’un contrat ou de mesures précontractuelles


Si le traitement des données est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles, celui-ci peut-être justifié. 


⚠️ Il ne suffit pas de mentionner le traitement de données personnelles dans le contrat ou les CGU (conditions générales de vente) pour justifier de sa nécessité. 

L’exécution d’un contrat peut constituer la base légale d’un traitement si :

  • Il existe réellement une relation contractuelle ou précontractuelle entre l’organisme et la personne concernée ;
  • Le contrat est valide au regard du droit applicable ;
  • Le traitement de données est réellement nécessaire à l'exécution du contrat.

🔎 Exemple de relation pré-contractuelle : Une plateforme de livraison de repas en ligne impose aux utilisateurs d’indiquer leur code postal avant même de passer commande. Cela est justifié car il s’agit d’une relation pré-contractuelle. En effet, l’utilisateur donne cette information afin de savoir s’il est situé dans la zone de livraison, dans l’éventualité de passer une commande. 

💡 Il s’agit de distinguer le mécanisme de la relation pré-contractuelle de celui de la prospection commerciale, qui elle, nécessite le consentement.

🔎 Exemple de relation contractuelle : Dans le cas où le service de livraison est actif dans sa zone l’utilisateur doit donner son adresse de livraison complète et transmettre ses coordonnées. L’application de livraison est légitime à recueillir ces informations dans le cadre du contrat que constitue la commande. Sans ces informations, le contrat ne peut pas être exécuté puisque le livreur ne saura pas où livrer le repas commandé. 


3- Le respect d’une obligation légale


Le traitement des données peut être nécessaire au respect d’une obligation légale.

Pour que cette condition soit remplie, il est impératif que : 

  1. Le traitement des données soit nécessaire au respect de l’obligation légale sans avoir d’autre finalité ;
  2. L’obligation légale soit issue des textes européens ou dans le droit national d’un État membre de l’Union européenne auquel le responsable du traitement est soumis ;
  3. Le texte juridique concerné : 
  4. soit suffisamment clair et précis sur la nécessité de traiter des données personnelles, 
  5. définisse la finalité (ou les finalités) du traitement concerné.
  6. L’obligation inscrite dans les textes juridiques s’impose directement au responsable du traitement, et non à la personne concernée par le traitement.

🔎 Exemple d’obligation légale : Les entreprises sont collectrices de l’impôt sur le revenu directement via les fiches de paie (prélèvement à la source). Dans ce cadre, elles doivent transmettre certaines données personnelles concernant leurs salariés à l’administration fiscale. Ce traitement de données personnelles est imposé par la loi Française.

4- La sauvegarde des intérêts vitaux d’une personne


Le traitement  des données personnelles est justifié quand il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Qu’entend le RGPD par l’expression « intérêts vitaux » ? 3 situations sont envisagées : 

  • Il est question de vie ou de mort ;
  • Une menace comportant un risque de blessure pèse sur la personne concernée ou un tiers ;
  • Il existe un risque d’atteinte à la santé de la personne concernée ou d’un tiers.

⚠️ La "sauvegarde des intérêts vitaux" peut être invoqué uniquement si aucune autre base juridique ne peut le justifier.

🔎 Exemple d'intérêt vital : cette base légale RGPD peut être invoquée par une équipe médicale devant traiter les données personnelles d’une personne inconsciente. Ils peuvent, par exemple, avoir besoin de son identité et de son groupe sanguin pour une transfusion de sang. Dans cette situation, impossible de lui demander son consentement. Les médecins peuvent alors se prévaloir de la sauvegarde des intérêts vitaux de la personne concernée. 


5- La mission d’ intérêt public  


Le recours à cette base légale ne concerne que les traitements mis en œuvre par les autorités publiques dans le cadre de leurs missions ainsi que les organismes privés poursuivant une mission d’intérêt public ou disposant de prérogatives de puissance publique. 

Même si l’organisme est fondé à invoquer cette base légale, l'exécution d'une mission d’intérêt public ne peut justifier le traitement de données à caractère personnelles qu'à certaines conditions :

  1. Le traitement des données personnelles est nécessaire à la réalisation de la mission d' intérêt public auprès des usagers des organismes concernés ;
  2. La mission d’ intérêt public doit reposer sur une base juridique européenne ou nationale.

🔎 Exemples de mission d’intérêt public : La CAF a besoin de traiter des données personnelles des allocataires (identité, coordonnées personnelles, revenus, coordonnées bancaires) pour leur verser leurs allocations.  



6- L'intérêt légitime du responsable du traitement 

Le traitement des données à caractère personnelles peut être nécessaire à la poursuite d’intérêts légitimes. 

Il est possible de fonder le traitement de données à caractère personnelles sur l'intérêt légitime aux conditions suivantes : 

  1. L’intérêt poursuivi par l’ organisme est légitime, c’est-à-dire licite, réel et présent (non fictif ni futur), ainsi suffisamment clairement et précisément identifié ;  
  2. L’intérêt poursuivi ne peut être retenu que si le traitement satisfait à la condition de « nécessité ». Cela signifie qu'il n’existe pas de traitement moins intrusif que celui mis en œuvre pour protéger l’intérêt légitime ; 
  3. Les traitements réalisés pour la poursuite de l'intérêt ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.  Les conséquences possibles sur la personne concernée doivent être identifiées et mises en balance avec l’intérêt poursuivi.

🔎 Exemple d'intérêt légitime : l’installation de systèmes de vidéosurveillance dans un magasin pour lutter contre le vol peut se fonder sur la base légale de l'intérêt légitime. 


3- Comment déterminer la base légale du RGPD adaptée au traitement des données ? 

Le choix de la base légale d'un traitement est une démarche primordiale. Le responsable du traitement doit la déterminer AVANT tout début de mise en œuvre du traitement des données personnelles. 

⚠️ Si un traitement de données personnelles poursuit plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités.

⚠️ Le traitement de données personnelles peut-il se justifier par plusieurs bases légales ? Non. Dans ce cas, il s’agit de trancher et de n’en choisir qu’une seule. En effet, la CNIL considère qu’une seule base légale doit être choisie par finalité.

Pour faire un choix cohérent de base légale, procédez par élimination en vous posant les questions suivantes : 

1- Avez-vous une obligation légale de traiter ces données personnelles ? 

En tant que responsable du traitement, vous devez savoir si le traitement est nécessaire au respect d'une obligation légale. En effet, si la loi impose la collecte de données personnelles, la base légale est l’obligation légale. 

C’est le cas dans un certain nombre de situations pour une entreprise : 

  • gestion des élections professionnelles
  • établir les documents comptables (factures, note de frais), 
  • transmettre les DSN, etc. 

2- Êtes-vous lié par l'exécution d'un contrat ?


Si vous n’avez pas d’obligation légale, vous pouvez vous demander ensuite s’il existe un contrat avec la personne concernée nécessitant la collecte et l’utilisation de données personnelles. 

La relation contractuelle ou précontractuelle peut concerner : 

  • un client consommateur : devis, commande passée sur un site web, contrat de réalisation d’une prestation
  • un salarié : contrat de travail. 

Si le traitement est nécessaire à l’exécution d'un contrat ou dans l’éventualité de conclure un contrat, la base légale est bien le contrat.


3- Est-il question de sauver une personne ?


Vous n’avez ni obligation légale ni contrat vous imposant de traiter les données personnelles. Même si le cas se présente plus rarement, vérifiez si le traitement des données ne se fonde pas sur la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers. 


C’est le cas si vous avez besoin de données personnelles pour sortir une personne d’une situation présentant un danger pour elle alors que celle-ci n’est pas en mesure de vous les communiquer.   


4- Avez-vous un intérêt légitime à protéger ?


L'exécution d'une mission d'intérêt public ne concerne que les organismes publics. Passons à l'intérêt légitime. 

Il est possible de se fonder sur les intérêts légitimes du responsable du traitement pour justifier un traitement de données personnelles. Par exemple, c’est souvent la base légale invoquée pour justifier les systèmes de surveillance. 

Déroulons la logique de ce fondement juridique : imaginons que vous souhaitiez installer un système de vidéosurveillance dans les locaux de votre entreprise pour assurer la sécurité des salariés. Cette justification est valide à condition que la vidéosurveillance n'ait pas d’autre finalité que la sécurité des salariés. Par exemple, elle ne doit pas servir à surveiller vos salariés pour vérifier s’ils sont bien en train de travailler. 

Vous devez également être en mesure de prouver que d’autres moyens moins intrusifs sont insuffisants pour atteindre la finalité de sécurité des salariés. 

Si l’une de ces conditions n’est pas remplie, l'intérêt légitime n’est pas valide et le système de vidéosurveillance ne pourra être déployé.


5- Devez-vous recueillir le consentement ?


Vous avez répondu non à toutes les questions précédentes ? Par conséquent le traitement n’entrant dans aucune de ces catégories, vous devez probablement procéder au recueil du consentement pour traiter les données personnelles. 

Le consentement est souvent nécessaire pour les traitements à visée publicitaire. 

Il peut s’agir de : 

  • Prospection commerciale, 
  • Campagne d’emailing, 
  • Envoi de newsletter
  • Réalisation d’enquêtes de satisfaction
  • Installation de cookies marketing pour collecter les données de navigation sur un site internet,
  • Etc. 


Vous l’aurez compris, pour déterminer la base légale du traitement des données, vous devez savoir à quoi celles-ci vont servir et ce qui vous autorise à les utiliser ! L’identification de la base légale de chaque traitement de données est une condition sine qua non de conformité RGPD. 


👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre