🛡️ Base légale & RGPD : Comment choisir le bon fondement juridique pour vos traitements de données ?
- Mandy LABADIE
- 24 mars
- 5 min de lecture
📌 Qu’est-ce qu’une base légale ?
Dans le cadre du Règlement général sur la protection des données (RGPD), tout traitement de données à caractère personnel doit reposer sur une base légale clairement identifiée. L’article 6 du RGPD prévoit six fondements juridiques possibles :
Le consentement de la personne concernée
L’exécution d’un contrat
Le respect d’une obligation légale
La sauvegarde des intérêts vitaux
La mission d’intérêt public
L’intérêt légitime du responsable du traitement
À retenir : Aucune hiérarchie n’existe entre ces bases, mais il est impératif de justifier le choix de la base légale en lien avec la finalité du traitement.
Sans base légale, tout traitement de données est illégal. Et pour chaque finalité de traitement, une seule base légale doit être retenue.
🎯 Comment bien choisir sa base légale (et éviter les erreurs fréquentes)
Le choix de la base légale n’est ni arbitraire, ni interchangeable. Il doit correspondre à la finalité réelle du traitement, et non à ce qui semble le plus souple ou pratique.
3 réflexes à adopter :
Commencez toujours par la finalité du traitement ➤ Pourquoi traitez-vous cette donnée ? À quoi sert-elle exactement ?
Analysez le contexte juridique, contractuel ou organisationnel ➤ Y a-t-il une loi qui vous oblige à ce traitement ? Est-ce nécessaire pour exécuter un contrat ? Un consentement est-il pertinent et librement donné ?
Évaluez les conséquences pour les personnes concernées ➤ Quels droits vont s’appliquer ? Y a-t-il un risque pour leur vie privée ? Existe-t-il une solution moins intrusive ?
Les erreurs les plus fréquentes
Cumuler plusieurs bases légales pour un même traitement ➤ Le RGPD impose une base unique par finalité. Mélanger les bases crée de la confusion et nuit à la transparence.
Utiliser “le consentement” par défaut ➤ C’est la base la plus fragile juridiquement. Elle doit être libre, éclairée et révocable. Si la personne n’a pas vraiment le choix, ce n’est pas valable.
Confondre “obligation légale” et “obligation contractuelle” ➤ Une obligation dans un contrat ne justifie pas l’utilisation de la base “obligation légale”. Il faut utiliser la base “contrat”.
Ne pas documenter son choix ➤ Votre base légale doit être justifiée et tracée dans votre registre des traitements. Sinon, vous êtes en non-conformité.
Bonnes pratiques pour bien choisir sa base légale
Étape | Question clé à se poser | Indice que c’est la bonne base légale |
1️⃣ La personne doit-elle pouvoir dire non librement ? | Oui ? ➝ Consentement | Le traitement ne doit pas être conditionné à l’obtention d’un service ou contrat. |
2️⃣ Le traitement est-il indispensable pour remplir un contrat avec la personne ? | Oui ? ➝ Contrat | Le traitement est nécessaire, pas juste utile. |
3️⃣ La loi m’impose-t-elle ce traitement ? | Oui ? ➝ Obligation légale | Un texte juridique vous impose explicitement ce traitement. |
4️⃣ Ce traitement est-il vital pour protéger une personne ? | Oui ? ➝ Intérêts vitaux | Urgence médicale, impossibilité d’obtenir le consentement. |
5️⃣ Ce traitement est-il réalisé dans le cadre d’une mission publique prévue par la loi ? | Oui ? ➝ Mission d’intérêt public | Activité de service public, souvent par des entités publ ques. |
6️⃣ Le traitement est-il nécessaire à mes intérêts légitimes sans nuire aux droits des personnes ? | Oui ? ➝ Intérêt légitime | Vous avez un intérêt réel, et l’impact sur la vie privée est maîtrisé et justifié. |
📜 Quand la loi impose-t-elle une base légale ?
Certaines législations imposent non seulement de traiter des données, mais déterminent également la base légale à utiliser.
Exemple :
L'article L34-5 du code des postes et des communications électroniques prévoit que la prospection électronique nécessite le consentement préalable. Ce n’est pas une obligation légale au sens classique (vous n’êtes pas obligé de faire de la prospection), mais si vous en faites, la loi vous impose d'utiliser le consentement comme base légale.
Ce point illustre la nuance entre :
Obligation légale : la loi impose de traiter certaines données (ex. : déclarations sociales).
Base légale imposée par la loi : la loi autorise un traitement à condition d'utiliser une base légale spécifique (ex. : consentement pour prospection).
👥 Droits des personnes concernées selon la base légale
Le choix de la base légale a un impact direct sur les droits que peuvent exercer les personnes concernées. Voici un tableau récapitulatif clair :
📊 Tableau des droits RGPD par base légale
Droits RGPD | Consentement | Contrat | Obligation légale | Intérêt légitime | Mission d’intérêt public | Intérêts vitaux |
Droit d’accès | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui |
Droit de rectification | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui |
Droit à l’effacement | ✅ Oui | ✅ Oui | ❌ Non* | ✅ Oui | ✅ Oui (sous conditions) | ✅ Oui |
Droit à la portabilité | ✅ Oui | ✅ Oui | ❌ Non | ❌ Non | ❌ Non | ❌ Non |
Droit à la limitation du traitement | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Oui |
Droit d’opposition | ✅ Oui | ❌ Non** | ❌ Non | ✅ Oui (sauf motif impérieux) | ✅ Oui (limité) | ❌ Non |
Notes :
❌ *Le droit à l’effacement peut être limité si le traitement est requis par la loi.
❌ **Le droit d’opposition ne s’applique pas si le traitement est strictement nécessaire à l’exécution du contrat.
🌍 Le guichet unique et les traitements transfrontaliers
Le guichet unique est un mécanisme européen permettant aux entreprises établies dans plusieurs États membres, ou impactant plusieurs pays, de traiter avec une seule autorité de contrôle (ex. : la CNIL en France).
Cependant, ce mécanisme ne s’applique pas lorsque la base légale du traitement est :
L’obligation légale
La mission d’intérêt public
Dans ces cas, chaque autorité nationale reste compétente, car les traitements sont régis par des textes nationaux spécifiques.
🧭 Lignes directrices européennes à venir
Le Comité Européen de la Protection des Données (CEPD) publie régulièrement des lignes directrices pour clarifier l’interprétation du RGPD. Si certaines bases légales, comme l’intérêt légitime, font l’objet de publications récentes, d’autres, comme l’obligation légale, sont encore en attente d’orientation officielle.
✅ En résumé
Choisir une base légale est obligatoire pour tout traitement de données personnelles.
Une seule base légale par finalité : elle doit être documentée, justifiée et transparente.
Le choix de la base légale influence les droits des personnes concernées.
Certaines bases sont liées au droit national, notamment l’obligation légale et la mission d’intérêt public.
Le guichet unique ne s’applique pas à tous les traitements : attention aux exceptions.
💬 Envie d’aller plus loin ? Dans les prochains articles, nous analyserons en détail chaque base légale (consentement, contrat, intérêt légitime, etc.) avec des exemples concrets et des bonnes pratiques de conformité.
Commentaires