Les notions essentielles : qu’est-ce qu’une base légale, et comment la choisir ?

Dans le cadre du RGPD, chaque traitement de données à caractère personnel doit reposer sur une base légale. Sans cela, le traitement est considéré comme illicite. Mais comment définir cette base légale et, surtout, comment choisir la bonne pour chaque traitement ?

💡 Cet article vise à vous aider à mieux comprendre les différentes bases légales et à faire le bon choix.

 

Qu’est-ce qu’une base légale ?

Une base légale est une raison juridique qui permet de traiter des données à caractère personnel de façon conforme aux règles du RGPD.

C’est la première question à poser avant de démarrer tout traitement : sur quelle base juridique repose-t-il ? Le RGPD en prévoit six principales, que nous allons examiner plus en détail.

 

Les six bases légales du RGPD

Pour traiter des données personnelles de manière légale, chaque traitement doit reposer sur l'une des 6 bases légales définies par le RGPD. Voici un résumé de chacune d’elles, ainsi que des conseils pour bien les choisir.

 

✅ Le consentement

Le consentement est la base la plus connue. Il s'agit d'obtenir un accord explicite de la personne concernée pour un traitement spécifique. Il doit être :

Libre : sans pression ni contrainte.

Spécifique : pour une finalité claire.

Éclairé : la personne doit comprendre à quoi elle consent.

Univoque : une action affirmative (ex. : case à cocher).

 

Quand l’utiliser ?

Utilisez le consentement pour des traitements où la personne doit avoir le contrôle, comme l’inscription à une newsletter ou l’acceptation des cookies.

Attention: Le consentement peut être retiré à tout moment, ce qui peut compliquer la gestion du traitement à long terme.

 

📝 L’exécution d’un contrat

Cette base s'applique lorsque le traitement est nécessaire pour exécuter un contrat auquel la personne concernée est partie, ou pour prendre des mesures précontractuelles à sa demande.

 

Quand l’utiliser ?

Utilisez cette base pour les services où des données sont indispensables à la prestation, comme la livraison d’un produit acheté en ligne, la gestion d’un abonnement, ou encore la préparation d’un devis.

Attention : Le traitement doit être strictement nécessaire pour exécuter le contrat.

 

⚖️ L’obligation légale

Le traitement est licite s'il est nécessaire pour respecter une obligation légale à laquelle le responsable du traitement est soumis (ex. : obligation comptable, fiscale, sociale).

 

Quand l’utiliser ?

Lorsque des lois nationales ou européennes imposent de collecter ou conserver des données. Par exemple, pour des raisons fiscales ou la conservation de documents liés aux contrats de travail.

Attention : Il faut se limiter aux données strictement requises par la loi.


🩺 La protection des intérêts vitaux

Cette base est rarement mobilisée et ne s’applique qu'en cas d'urgence, lorsque le traitement est nécessaire pour protéger la vie ou l’intégrité physique d’une personne.

 

Quand l’utiliser ?

Lorsqu’il s’agit de traiter des données dans des situations de danger imminent, par exemple, lors de soins médicaux d’urgence où la personne ne peut donner son consentement.

Attention : Cette base est utilisée dans des cas très limités, liés à des situations de vie ou de mort.


🏛️ La mission d’intérêt public ou l’exercice de l’autorité publique

Cette base est utilisée par les organismes publics ou dans des cas où le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

 

Quand l’utiliser ?

Elle s’applique dans des contextes de missions administratives, éducatives, sanitaires ou encore juridiques. Par exemple, la gestion des inscriptions scolaires ou l’organisation d’élections.

Attention : Cette base est spécifique aux activités liées à l’intérêt général.

 

💭 Les intérêts légitimes

L’intérêt légitime permet de traiter des données si cela répond à un objectif légitime de l’organisation, sans porter atteinte aux droits et libertés des personnes concernées. Cela nécessite une analyse d’équilibre entre les intérêts de l’organisation et les droits des individus.

 

Quand l’utiliser ?

Utilisée dans des contextes tels que la prévention de la fraude, la sécurité informatique, ou le marketing direct (sous certaines conditions).

Attention : Il faut justifier que l’intérêt de l’organisation prévaut sur les impacts négatifs potentiels pour les personnes concernées. Documenter cette analyse est essentiel.

 

Comment choisir la bonne base légale ?

Choisir la bonne base légale est essentiel pour garantir la conformité de vos traitements. Voici quelques conseils pour bien vous orienter :

 

1° : Cadrer clairement le but du traitement 🎯

La première étape consiste à définir avec précision l'objectif de votre traitement de données. Cette question est essentielle : quelle est la finalité poursuivie par le traitement ?

Le RGPD impose en effet que chaque traitement ait un but déterminé, explicite et légitime. Cela signifie que vous ne pouvez pas traiter des données sans avoir un objectif clair en tête.

Cela implique, par exemple, de se poser les questions suivantes :

  • Le traitement sert-il à exécuter un contrat avec la personne concernée ?
  • Le traitement sert-il à respecter une obligation légale imposée à mon organisation ?
  • Le traitement est-il réalisé dans l’intérêt d’assurer la sécurité de mon infrastructure informatique ?

La définition de la finalité est primordiale : c'est elle qui guide directement le choix de la base légale.

 

2° : Ne pas se reposer uniquement sur le consentement ☑️

Le consentement est souvent la première base légale à laquelle les entreprises pensent, car il semble intuitif et respectueux des droits des individus.

Cependant, il n'est pas toujours le meilleur choix, ni le plus facile à gérer à long terme. Voici pourquoi :

  • Le consentement doit être libre, éclairé et révocable à tout moment, ce qui implique une gestion complexe. Si la personne retire son consentement, vous devrez immédiatement cesser le traitement, à moins qu’une autre base légale ne puisse être invoquée.

↪ Si vous traitez les données dans le cadre d’une prestation de service ou d’un contrat, il est souvent plus simple et plus efficace d’utiliser la base légale liée à l’exécution du contrat.

Quand privilégier le consentement ?

  • Si la personne concernée doit bénéficier d'un véritable choix concernant l’usage de ses données.
  • Pour des activités où la liberté de décision de l’individu est au centre (par exemple, pour s’abonner à une newsletter ou participer à une enquête marketing).

 

3° : Analyser le contexte juridique et sectoriel 🔍

Dans certains secteurs, il existe des pratiques et des obligations spécifiques qui dictent la base légale à utiliser.

Par exemple :

  • Secteur bancaire : de nombreuses obligations légales imposent le traitement de données pour la lutte contre le blanchiment d’argent ou la gestion des risques financiers. Ici, la base de l'obligation légale s’impose naturellement.
  • Secteur de la santé : la protection des intérêts vitaux peut parfois justifier le traitement des données, par exemple en cas de soins d'urgence. D’autres traitements de données de santé seront fondés sur la base de l’intérêt public ou d’une mission de service public.

 

4° : Utiliser les intérêts légitimes avec prudence ⚠️

La base de l'intérêt légitime est souvent vue comme flexible et pratique, car elle permet de traiter des données pour des raisons variées, comme la sécurité informatique ou le marketing direct.

Toutefois, son utilisation doit être bien mesurée. Voici les points à prendre en compte :

Équilibrer les intérêts : un des critères essentiels de cette base légale est d’évaluer si votre intérêt légitime ne l’emporte pas sur les droits et libertés des personnes concernées. Il est important de mener une analyse d’impact (ou LIA – Legitimate Interest Assessment) pour formaliser cet équilibre.

Exemple d’intérêts légitimes courants :

  • Prévention de la fraude
  • Protection des systèmes informatiques
  • Analyse de performances
  • Etc.

Attention : si les données traitées sont sensibles ou si les personnes concernées sont vulnérables (par exemple, des enfants), cette base légale devient plus risquée. Dans ce cas, privilégiez d'autres bases comme le consentement ou l'exécution d’un contrat.

 

5° : Assurer la compatibilité avec les droits des personnes concernées 👥

Le choix de la base légale a une incidence directe sur les droits des personnes concernées. Par exemple :

  • Si le traitement repose sur le consentement, les personnes ont le droit de le retirer à tout moment.
  • Si le traitement repose sur une obligation légale, le droit à l'effacement peut être limité.
  • Si l'intérêt légitime est utilisé, les personnes peuvent s'opposer au traitement pour des motifs légitimes.

Il est par conséquent important de toujours prendre en compte et anticiper les droits fondamentaux des personnes (tels que le droit d’accès, de rectification, d’effacement ou d’opposition) au moment de la détermination de la base légale d'un traitement.

 

6° : Documenter et justifier le choix 🗃️

Une fois la base légale identifiée, il est essentiel de documenter ce choix. Dans le cadre du RGPD, la responsabilité de l’organisme (principe de responsabilisation ou "accountability") vous impose, en effet, de pouvoir démontrer la licéité de vos traitements.

Voici comment procéder :

  • Inscrire la base légale dans votre registre des traitements de données personnelles.
  • Etre en mesure de justifier pourquoi cette base a été retenue et pas une autre (par exemple, pourquoi un intérêt légitime a été préféré au consentement).
  • Conserver des preuves de votre décision et, si nécessaire, les preuves du consentement recueilli.

 

 

Pour résumer...

Choisir la bonne base légale est une étape clé dans tout processus de traitement de données à caractère personnel. Ce choix doit être basé sur une analyse approfondie du contexte, des finalités du traitement et des droits des personnes concernées.

En prenant le temps d’évaluer chaque situation de manière rigoureuse et en documentant vos choix, vous assurez la conformité de vos pratiques avec le RGPD et protégez les droits des personnes tout en sécurisant votre organisation contre des risques juridiques 👍 !

 

 

____________________________________________

Article rédigé par Ninon MAIRE, le 18/10/2024

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !