Ignorer la base juridique d’un traitement, c’est s’exposer à des amendes pouvant atteindre 4 % du chiffre d’affaires mondial, mais aussi à la perte de confiance des clients. Les décisions récentes de la CNIL et des homologues européennes montrent que la sanction tombe vite quand le fondement est manquant ou mal choisi. Tour d’horizon des principaux écueils et des remèdes pour anticiper les litiges.
1) L’obligation non négociable de disposer d’un fondement valable
Traiter des données sans base juridique viole d’emblée l’article 6 du RGPD ; en outre, l’article 83§5 classe cette faute dans le « groupe A », au même rang que le non‑respect des droits ou les transferts internationaux illicites.
Lors d’un contrôle, la CNIL commence toujours par ce point : elle réclame le registre des traitements, puis compare finalités, données collectées et fondement déclaré. Si elle repère un intérêt légitime sans mise en balance écrite, ou encore l’absence de preuve de consentement ou d’obligation légale, elle constate aussitôt l’illicéité.
Ainsi, dans la décision SAN‑2022‑019, elle a infligé 20 millions d’euros d’amende à une société qui avait changé de base juridique en pleine instruction, qualifiant le défaut de « structurel ». Par conséquent, chaque responsable doit choisir la base avant toute collecte et la conserver tant que la finalité reste identique.
2) Confidentialité, intégrité, disponibilité : les trois piliers de la sécurité RGPD
Ensuite, le risque financier dépasse de loin l’amende «plafond». Désormais, les autorités modulent la sanction selon la gravité, le chiffre d’affaires et la récidive. Par exemple, l’APD belge a infligé 250000€ à un acteur numérique qui avait invoqué à tort le contrat pour des actions marketing sans lien avec le service principal. De son côté, le Garante italien a frappé Clearview AI de 20M€ pour avoir collecté des visages sans base juridique.
À l’échelle européenne, le CEPD coordonne les enquêtes transfrontalières ; ainsi, en2023, une plateforme sociale a écopé de 390M€ d’amende pour un ciblage publicitaire intrusif fondé sur le seul contrat. Les secteurs les plus visés demeurent le marketing digital, la vidéosurveillance, la biométrie et les ressources humaines, où le consentement s’avère difficile et l’intérêt légitime, souvent mal documenté.
Enfin, les petites structures subissent aussi la pression: une PME de e‑commerce a payé 65000€ pour avoir utilisé des données de navigation sans base valable. Le cumul des sanctions, des audits et des mises en conformité d’urgence érode alors la trésorerie pendant des mois.
3) Contrôles renforcés et coopération européenne: pouvoirs étendus décisions publiées
Toutefois, le risque financier n’est qu’un aspect : les pouvoirs de contrôle se renforcent. Désormais, la CNIL conduit des inspections surprises avec la police numérique. Elle saisit serveurs et téléphones, interroge les DPO sous serment, puis ordonne la suspension immédiate d’un traitement sans fondement. En outre, le guichet unique et les outils du CEPD amplifient cette pression.
Ainsi, plusieurs régulateurs peuvent auditer en même temps un traitement transfrontalier. Les autorités publient ensuite leurs décisions finales en ligne. De plus, les communiqués du CEPD les relaient afin de responsabiliser les entreprises et d’offrir un exemple.
En conséquence, arrêter d’urgence un logiciel de prospection ou une caméra coûte cher. L’entreprise subit des pertes, voit des projets gelés et renégocie ses contrats. Enfin, les fournisseurs SaaS doivent aussi prouver leur propre base juridique. Tout défaut retombe sur eux via l’article28 et impacte le client.
4) Structurer son analyse d’impact (DPIA) pour prévenir les sanctions
Enfin, un mauvais choix de base juridique perturbe la relation avec les personnes concernées. Un client qui demande la portabilité d’un historique, un salarié qui s’oppose à la vidéosurveillance, un usager qui exige l’effacement : si la base est mal fondée, l’entreprise ne peut répondre de façon cohérente et se retrouve en contradiction. Au‑delà des droits individuels, les tribunaux civils et prud’homaux écartent de plus en plus les preuves issues d’un traitement illicite; l’employeur perd alors des procédures disciplinaires ou commerciales faute d’éléments recevables. Pour prévenir ces risques, la gouvernance RGPD doit s’appuyer sur :
- Une cartographie exhaustive des traitements avec une colonne « base juridique » et un lien vers la documentation associée (consent logs, clauses contractuelles, texte légal, test d’intérêt légitime).
- Des analyses d’impact (DPIA) systématisées dès qu’il existe un risque élevé: elles récapitulent finalités, fondement, mesures de sécurité et mise en balance. Un modèle unique simplifie la mise à jour.
- Une politique de conservation liée à la base : durées légales, délais de prescription, renouvellement du consentement.
- La formation continue des équipes métiers : connaître la différence entre intérêt légitime et contrat, savoir vérifier un texte habilitant, savoir gérer un retrait de consentement.
- Des audits internes réguliers : contrôle échantillonné des registres, revue des bandeaux cookies, vérification des effets d’un changement logiciel sur la base juridique.
Ces actions coûtent peu comparées à une amende ou à l’arrêt d’un traitement vital pour l’activité. Elles démontrent la « responsabilité proactive » exigée par l’article 5§2, diminuent le montant potentiel de l’amende et montrent aux clients que l’entreprise prend la protection des données au sérieux.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
