Une loupe qui cherche dans un livre la base légale pour un traitement RGPD

Quelle base légale choisir pour vos traitements RGPD ?

Nous contacter

Consentement, intérêt légitime, contrat, obligation légale, pour chacun de vos traitements de données, vous devez choisir l’une des bases légales prévues par le règlement général sur la protection des données (RGPD).

Et cette étape n’est pas anodine. Une grande partie des sanctions prononcées par la CNIL repose en effet sur un mauvais fondement juridique du traitement (base inadaptée, consentement invalide, intérêt légitime mal évalué ou contrat invoqué à tort). Or, sans base légale valable, un traitement est illicite, même si les données sont sécurisées et peu sensibles.

Alors, quelle base légale choisir pour vos traitements RGPD ? Découvrez le guide pratique rédigé par les avocats en données personnelles d’Infolawyers. Ils vous aident à faire le bon choix, à comprendre les limites de chaque fondement et à éviter les erreurs les plus fréquentes.

L’essentiel à retenir

  • Chaque traitement de données à caractère personnel doit reposer sur une base légale clairement identifiée.
  • Le consentement doit être libre, éclairé, spécifique et révocable.
  • Le contrat ne peut être invoqué que si le traitement est strictement nécessaire à son exécution.
  • L’intérêt légitime suppose une mise en balance documentée entre l’intérêt du responsable du traitement et les droits et libertés des personnes concernées.
  • Le choix de la base légale doit être documenté dans votre registre des traitements et cohérent avec la politique de confidentialité de votre entreprise. 

Tout traitement de données personnelles doit reposer sur une base légale prévue par le RGPD

Le règlement général sur la protection des données repose sur un principe fondamental : les traitements de données à caractère personnel sont interdits, sauf s’ils reposent sur l’un des fondements juridiques expressément prévus à l’article 6 du RGPD.

Autrement dit, un traitement ne peut être licite que s’il est rattaché à une base légale clairement identifiée, préalable à toute collecte ou utilisation de données personnelles.

Contrairement à une idée encore largement répandue, le choix de cette base légale ne relève pas de la volonté du responsable du traitement. 

Il résulte, au contraire, d’une analyse juridique précise, basée sur les caractéristiques du traitement envisagé : 

  • la finalité poursuivie ; 
  • la nature de la relation existant avec la personne concernée ; 
  • les catégories de données collectées ; 
  • le niveau d’atteinte porté à la vie privée et aux droits et libertés des personnes concernées.

Quelles sont les bases légales disponibles pour vos traitements RGPD ?

Le consentement comme base légale pour vos traitements RGPD

Le consentement est sans doute la base légale la plus connue, mais également l’une des plus strictement encadrées par le RGPD. 

Pour être valable, il doit répondre à quatre exigences cumulatives :

  • être libre ;
  • spécifique ;
  • éclairé ;
  • et univoque.

En pratique, cela implique que la personne concernée comprenne de manière précise les finalités du traitement, qu’elle dispose d’un véritable choix et qu’elle puisse retirer son consentement à tout moment, sans subir de conséquence négative. À défaut, le consentement ne sera pas considéré comme valable au sens du RGPD.

Notre conseil : évitez les formulaires avec une case pré cochée ou une acceptation globale de la politique de confidentialité. Dans les deux cas, vous ne serez pas en mesure de démontrer l’existence d’un consentement conforme aux exigences du RGPD.

Lorsqu’il est valablement recueilli, le consentement constitue une base légale pertinente pour certains traitements et notamment : 

  • la prospection commerciale par email ou par SMS ; 
  • l’utilisation de cookies non essentiels sur les sites internet ; 
  • certaines opérations de profilage à des fins marketing ; 
  • la collecte de préférences utilisateurs.

Toutefois, la CNIL rappelle de manière constante que le consentement ne peut être retenu lorsque les conditions de liberté ne sont pas réunies. C’est notamment le cas : 

  • lorsqu’il existe un déséquilibre de pouvoir entre le responsable du traitement et la personne concernée (salarié-employeur) ; 
  • lorsque l’accès à un service est conditionné à l’acceptation de traitements non nécessaires ; 
  • lorsque les modalités de retrait du consentement sont plus complexes que celles de son octroi.

Cette approche est confortée par la jurisprudence européenne, qui adopte une interprétation particulièrement stricte de la notion de consentement. 

De nombreux responsables de traitement sont donc aujourd’hui conduits à écarter cette base légale dès lors que le consentement ne peut être regardé comme réellement libre et effectif.

L’obligation légale comme base juridique pour vos traitements de données

L’obligation légale peut être retenue dès lors que la mise en œuvre du traitement est imposée par un texte juridique national ou européen applicable à votre entreprise. C’est le cas, par exemple, si vous effectuez des traitements nécessaires au respect d’obligations comptables, fiscales ou sociales. 

Une obligation définie par la loi et imposée au responsable du traitement

Contrairement à d’autres bases légales, l’obligation légale ne peut pas être librement invoquée par le responsable du traitement. Elle suppose l’existence d’un texte juridique contraignant, suffisamment clair et précis, qui impose effectivement le traitement de données personnelles.

Pour être valable, cette obligation doit répondre à plusieurs exigences : 

  • elle doit être définie par une norme européenne ou nationale applicable ; 
  • elle doit instituer une obligation impérative de traiter des données personnelles ; 
  • elle doit préciser au moins les finalités du traitement ; 
  • elle doit s’imposer directement au responsable du traitement (et non aux personnes concernées).

À défaut, le traitement ne peut pas être fondé sur cette base légale et une autre justification juridique devra être recherchée.

Découvrez les solutions juridiques Infolawyers

Une condition de nécessité strictement appréciée

Le recours à l’obligation légale est subordonné au respect du principe de nécessité. Le traitement mis en œuvre doit permettre de répondre exclusivement à l’obligation qui s’impose à votre entreprise, sans poursuivre d’autres objectifs.

Vous devez également vous assurer qu’il n’existe pas de moyen moins intrusif pour atteindre le même résultat. À titre d’illustration, l’obligation générale de sécurité qui pèse sur un employeur ne suffit pas, à elle seule, à justifier la mise en place d’un système de vidéosurveillance. Dès lors que des mesures moins attentatoires à la vie privée peuvent être envisagées, l’obligation légale ne peut pas être retenue et une autre base légale (comme l’intérêt légitime) doit être examinée.

Bon à savoir : vous devez être en mesure, à tout moment,  de démontrer la validité du recours à l’obligation légale, notamment en cas de contrôle de la CNIL. Par ailleurs, tout changement substantiel dans les conditions de mise en œuvre du traitement (finalités, catégories de données, durées de conservation ou modalités d’accès) est susceptible d’avoir une incidence sur la base légale retenue. Dans ce cas, une nouvelle analyse devra être menée afin de vérifier si l’obligation légale demeure pertinente.

L’intérêt légitime comme base légale 

Il vous permet de fonder légalement un traitement de données personnelles lorsque celui-ci poursuit un objectif légitime. Ce traitement ne doit pas porter une atteinte disproportionnée aux droits et aux libertés des personnes concernées. 

Cette base peut notamment être envisagée pour des traitements visant : 

  • à garantir la sécurité des réseaux et des systèmes d’information ; 
  • à prévenir la fraude ; 
  • à mener des enquêtes de satisfaction auprès des clients ; 
  • à réaliser certaines opérations de prospection commerciale à destination de clients existants, dans des limites strictement encadrées par la CNIL. 

Elle peut également concerner certains traitements internes à un groupe d’entreprises, par exemple à des fins de gestion administrative, dès lors que les conditions posées par le RGPD sont respectées.

Un intérêt qui doit être réellement légitime

La première condition tient au caractère légitime de l’intérêt poursuivi. Si cette exigence peut sembler relever du bon sens, elle suppose néanmoins une analyse juridique minimale. Il n’existe pas de liste exhaustive des intérêts reconnus comme légitimes. Le RGPD et la jurisprudence fournissent toutefois des orientations claires.

Un intérêt pourra être regardé comme légitime lorsqu’il est manifestement licite, déterminé de manière suffisamment claire et précise et réel pour l’organisme concerné, c’est-à-dire ni hypothétique ni fictif. À l’inverse, un intérêt vague, indéterminé ou purement opportuniste ne saurait valablement justifier un traitement fondé sur cette base légale.

Un traitement strictement nécessaire à l’objectif poursuivi

Le recours à l’intérêt légitime suppose ensuite que le traitement envisagé soit nécessaire à la poursuite de l’objectif identifié. Cette condition implique que le traitement permette effectivement d’atteindre cet objectif. Il ne doit donc pas servir, en réalité, à des finalités secondaires ou dissimulées.

Vous devez là encore vous interroger sur l’existence éventuelle de moyens moins intrusifs pour la vie privée des personnes concernées. Si l’objectif poursuivi peut être atteint par un dispositif ne traitant pas de données personnelles, ou par un traitement plus respectueux des droits des personnes, le recours à l’intérêt légitime ne pourra être retenu. 

Une mise en balance avec les droits et libertés des personnes concernées

La troisième condition, souvent la plus complexe à manier, consiste à vérifier que le traitement ne porte pas une atteinte excessive aux droits et intérêts des personnes concernées, compte tenu de leurs attentes raisonnables. Le RGPD impose en effet de renoncer à l’intérêt légitime lorsque les droits fondamentaux des personnes prévalent sur ceux de l’entreprise.

Cette mise en balance suppose d’évaluer concrètement les conséquences du traitement sur les personnes concernées (degré d’intrusion dans la vie privée, nature des données traitées existence d’un profilage, traitement de données relatives à des personnes vulnérables, ou encore effets indirects tels qu’un suivi des comportements, une surveillance des déplacements ou une exclusion de certains services).

Un traitement sera plus aisément justifiable lorsqu’il peut être raisonnablement anticipé dans un contexte donné, par exemple des actions de fidélisation auprès de clients existants. À l’inverse, un traitement qui dépasse ce que les personnes peuvent légitimement attendre, comme un profilage publicitaire particulièrement intrusif, sera difficilement conciliable avec cette base légale.

Des garanties à prévoir et une analyse à documenter

Afin de rétablir l’équilibre entre les intérêts en présence, vous pouvez être amené à prévoir des mesures compensatoires (droit d’opposition renforcé) des mécanismes de limitation du traitement ou des garanties supplémentaires en matière de transparence.

L’ensemble de cette analyse doit être formalisé dans le cadre d’un test de mise en balance, également appelé Legitimate Interest Assessment (LIA). Ce test doit démontrer l’existence d’un intérêt réel et licite, la nécessité du traitement au regard de cet objectif, et l’absence d’atteinte disproportionnée aux droits et libertés des personnes concernées. Il doit être documenté et conservé dans le registre des traitements.

Enfin, tout changement substantiel dans les conditions de mise en œuvre du traitement (finalités, catégories de données, durées de conservation ou modalités d’accès) est susceptible de remettre en cause la validité de la base légale retenue. Dans une telle hypothèse, l’analyse doit être réitérée.

Bon à savoir
La jurisprudence européenne tend à renforcer les exigences liées à l’intérêt légitime, en particulier lorsque le traitement implique du profilage, une surveillance comportementale ou des données sensibles. Un intérêt purement économique ne suffit pas toujours à justifier un traitement intrusif.

Le contrat comme base légale 

Vous avez signé un contrat dans le cadre de votre activité ? Il  peut être retenu comme base légale pour les traitements nécessaires à son exécution ou à la mise en œuvre de mesures précontractuelles.

Le RGPD admet en effet que certains traitements puissent être nécessaires à la préparation d’un contrat, même si celui-ci n’est finalement pas conclu. Il en va ainsi lorsque la personne concernée fournit volontairement certaines informations afin de vérifier la faisabilité ou les modalités d’un futur contrat. À titre d’exemple, le traitement d’un code postal permettant de déterminer si un service de livraison est disponible dans une zone géographique donnée peut être fondé sur la base légale du contrat, dès lors que cette démarche émane de la personne concernée.

En revanche, les traitements mis en œuvre à l’initiative exclusive du responsable du traitement, notamment à des fins de prospection commerciale de nouveaux clients, ne peuvent pas être rattachés à cette base légale. Dans ce cas, le traitement devra reposer sur une autre justification. 

Le recours à cette base légale suppose également que le contrat en cause soit valable au regard du droit applicable. Il doit être conforme aux règles générales du droit des contrats et, le cas échéant, aux dispositions spécifiques encadrant certains types de relations contractuelles, notamment en matière de droit de la consommation ou de fourniture de contenus et services numériques. Un contrat illicite ou irrégulier ne saurait, à lui seul, justifier la mise en œuvre d’un traitement de données personnelles.

Enfin, comme pour toute base légale prévue par le RGPD, le traitement fondé sur le contrat doit satisfaire à une condition stricte de nécessité. Le traitement doit être objectivement indispensable à l’exécution du contrat concerné, c’est-à-dire permettre la fourniture effective du produit ou du service attendu par la personne. 

Découvrez notre article pour savoir comment encadrer le traitement des données dans vos contrats

La mission d’intérêt public 

La mission d’intérêt public peut fonder les traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique confiée à un organisme.

Cette base légale concerne en premier lieu les autorités publiques, dans le cadre de l’exercice de leurs missions de service public. Elle peut toutefois également être mobilisée par des entreprises privées, dès lors que ceux-ci sont légalement investis d’une mission d’intérêt public ou disposent de prérogatives de puissance publique. 

Contrairement à l’intérêt légitime, la mission d’intérêt public ne peut pas être librement définie par l’organisme qui met en œuvre le traitement. Elle doit impérativement trouver son fondement dans le droit de l’Union européenne ou le droit national applicable.

Comme pour toute base légale prévue par le RGPD, le recours à la mission d’intérêt public est subordonné au respect d’une condition essentielle : le traitement doit être nécessaire à l’accomplissement de la mission en cause. 

Cette base ne peut être utilisée pour justifier des traitements relatifs au fonctionnement interne d’une administration par exemple (gestion des ressources humaines par exemple).

Bon à savoir : la sauvegarde des intérêts vitaux

La mission d’intérêt public ne doit pas être confondue avec la sauvegarde des intérêts vitaux, autre base légale prévue par le RGPD. Cette dernière demeure exceptionnelle et s’applique uniquement aux situations d’urgence, notamment médicales, lorsque la personne concernée se trouve dans l’incapacité de donner son consentement et que le traitement est indispensable à la protection de sa vie ou de son intégrité physique.

Comment choisir la bonne base légale pour son traitement RGPD ?

Étape 1 : identifier la finalité de votre traitement RGPD

Toute analyse doit débuter par cette question : dans quel objectif les données sont-elles traitées ?

La finalité du traitement constitue le point d’ancrage du raisonnement juridique. Elle permet de déterminer non seulement la base légale appropriée, mais aussi l’étendue des données pouvant être collectées et leur durée de conservation.

Pour être conforme au RGPD, la finalité du traitement doit être déterminée, c’est-à-dire définie de manière suffisamment précise et explicite. Elle doit permettre à la personne concernée de comprendre concrètement l’usage fait de ses données. Elle doit enfin poursuivre un objectif légitime.

Gardez en tête que si la finalité de votre traitement est vague, évolutive ou formulée de manière trop large, vous vous exposez à un risque réel de non-conformité au RGPD.

Découvrez les 5 étapes à suivre pour avoir un site internet conforme au RGPD.  

Étape 2 : choisir la base la plus appropriée et la moins intrusive

Une fois la finalité identifiée, vous devez déterminer quelle base légale correspond réellement à cet objectif, sans chercher à privilégier celle qui serait la plus confortable sur le plan opérationnel.

Le RGPD impose, en effet, de retenir la base juridique la plus protectrice des droits et des libertés des personnes concernées. 

Le consentement ne constitue pas une solution automatique. Il n’est pertinent que lorsqu’un véritable choix est offert à la personne et que le retrait du consentement est possible sans conséquence négative.

De la même manière, l’intérêt légitime ne peut être invoqué pour justifier un traitement excessif ou intrusif, notamment lorsqu’il existe un impact significatif sur la vie privée ou un risque de déséquilibre au détriment de la personne concernée.

Cette étape suppose donc une appréciation concrète et contextualisée. Vous devez tenir compte de la nature des données, de la relation entre les parties et des attentes raisonnables des personnes concernées.

Étape 3 : documenter votre choix

Votre décision doit être formalisée, afin de pouvoir démontrer la conformité de votre traitement en cas de contrôle ou de réclamation.

Le fondement juridique retenu doit donc être mentionné dans votre registre des traitements. Vous devez aussi l’expliquer de manière claire dans votre politique de confidentialité et dans les informations transmises aux personnes concernées (formulaire RGPD, par exemple).

Toute incohérence entre ces différents documents est susceptible d’être relevée par la CNIL.

Dans les situations complexes ou sensibles, l’intervention d’un délégué à la protection des données (DPO) permet de sécuriser l’analyse, d’anticiper les risques et de documenter correctement le raisonnement juridique ayant conduit au choix de la base légale.

La solidité de votre démarche RGPD repose en grande partie sur le choix d’une base légale adaptée à chacun de vos traitements. Un consentement mal recueilli, un intérêt légitime insuffisamment justifié ou un contrat invoqué à tort peuvent fragiliser l’ensemble de votre conformité.

Avec le Bouclier 360, les avocats en données personnelles d’Infolawyers vous accompagnent pour sécuriser durablement vos traitements et vous permettre d’agir en toute confiance, dans le respect du RGPD et des droits fondamentaux.

FAQ : quelle base légale pour un traitement RGPD ?

Peut-on changer de base légale en cours de traitement ?

C’est en principe déconseillé. Un changement de base légale nécessite de réévaluer le traitement, d’informer les personnes concernées et de documenter le changement. De plus, il existe un risque que cela soit perçu comme un contournement des droits des personnes concernées.

Le consentement est-il obligatoire pour la prospection commerciale ?

En BtoC, elle nécessite obligatoirement le consentement préalable (opt-in) des personnes concernées. La prospection BtoB peut reposer sur l’intérêt légitime de l’entreprise, à condition de respecter des conditions strictes. Pour en savoir plus, découvrez notre article RGPD et prospection commerciale. 

L’intérêt légitime est-il valable pour tous les traitements ?

Non, il est en principe exclu pour les autorités publiques et limité pour les traitements fortement intrusifs ou sensibles.

Qui contrôle le choix de la base légale ?

En France, la CNIL peut contrôler et sanctionner la finalité de vos traitements et vous sanctionner si celle-ci n’est pas conforme au RGPD. 

Le choix de la base légale doit-il apparaître dans la politique de confidentialité ?

Oui, les personnes concernées doivent être clairement informées de la base juridique de chaque traitement de données. 

Derniers articles

Homme qui tient son visage dans ses mains

Qui est responsable en cas de faute commise par une IA ?

Comme beaucoup d’entrepreneurs du Web, vous utilisez sans doute déjà l’IA dans votre activité au quotidien.  Par exemple, pour créer…

RGPD et prospection

RGPD et prospection commerciale : ce que vous pouvez (et ne pouvez pas) faire

Toutes les entreprises sont amenées à faire de la prospection commerciale. Pourtant, dans la pratique, les professionnels méconnaissent encore trop…

comment encadrer le traitement de données dans vos contrats

Comment encadrer le traitement de données dans vos contrats ?

Vous travaillez avec des freelances, des prestataires et des sous-traitants ? Maintenance informatique, closing, hébergement, développement web, SAV, dans la…

Toutes les actualités