Aucune donnée personnelle ne peut être traitée sans fondement clair : c’est le premier réflexe d’une conformité RGPD réussie. Le responsable de traitement doit donc identifier l’une des six bases juridiques prévues à l’article 6 et prouver le respect des principes généraux (licéité, minimisation…). Décryptage complet pour comprendre cette double logique et éviter les chausse‑trappes réglementaires.
1) Comprendre la notion de «base juridique»
D’abord, la base juridique, aussi appelée «base légale» ou « fondement », autorise une organisation à traiter des données personnelles. Concrètement, le RGPD la présente comme le droit d’un organisme à manipuler ces données. Sans base, le traitement devient aussitôt illicite. Par conséquent, l’entreprise choisit ce fondement avant toute collecte. Une fois le projet lancé, elle ne peut plus en changer sans tout recommencer. La CNIL l’a d’ailleurs rappelé dans plusieurs décisions, notamment SAN‑2020‑018.
Ensuite, ce choix possède une réelle valeur probatoire. Le responsable doit le prouver dans le registre, la DPIA et les clauses contractuelles. Il doit aussi le présenter à la CNIL lors d’un contrôle. Pour réussir, il organise un dialogue étroit entre direction métier, DPO et juristes. Chacun aligne finalités, périmètre de collecte et exigences légales. Ainsi, l’entreprise reste cohérente et limite son risque.
2) Une liste exhaustive de six fondements
Ensuite, l’article 6 du RGPD énumère six fondements « exhaustifs et limitatifs » : consentement, exécution d’un contrat ou mesures précontractuelles, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public ou relevant de l’autorité publique, intérêt légitime. La CJUE a confirmé ce caractère fermé dans l’arrêt Latvijas Saeima du 22 juin 2021.
- Consentement : accord libre, spécifique, éclairé et univoque, documenté et révocable à tout moment. À privilégier quand la personne doit garder la main (prospection B2C, cookies non essentiels).
- Contrat : nécessaire à l’exécution d’une relation contractuelle (livraison, facturation); attention à ne pas l’étendre à des opérations marketing post‑contrat.
- Obligation légale : traitement imposé par un texte clair (déclaration sociale, contrôle comptable). La référence précise au texte est obligatoire dans la documentation.
- Intérêts vitaux : situations d’urgence mettant en jeu la vie d’une personne (urgences médicales, alertes sanitaires).
- Mission d’intérêt public : traitements des autorités publiques ou organismes investis d’une mission légale (services municipaux, opérateurs d’État).
- Intérêt légitime : fondement flexible pour la prévention de fraude, la sécurité réseau ou l’amélioration de service, mais soumis à un test de mise en balance « responsable vs personnes concernées ». Les lignes directrices du CEPD conseillent d’analyser la nature de la relation, l’impact sur les droits et les garanties supplémentaires (information claire, opposition facilitée).
3) Les principes du RGPD s’ajoutent toujours à la base juridique
Pourtant, posséder un fondement ne suffit pas. En plus, le traitement doit respecter tous les principes de l’article5 comme la licéité, loyauté, transparence, minimisation, exactitude, durée limitée, intégrité, confidentialité et responsabilité. La CJUE souligne leur application cumulative, jamais alternative.
Ainsi, même sous l’intérêt légitime, l’autorité interdira un traitement qui collecte trop ou conserve trop longtemps.
Concrètement, cette double exigence s’applique chaque jour. Par exemple, garder des données client après le délai contractuel viole la limitation. De même, durant un recrutement, demander des informations médicales enfreint la minimisation.
Le responsable doit donc se poser deux questions : « Ai‑je un fondement ? » puis « Mon traitement suit‑il tous les principes? ». Cette vérification régulière sécurise la conformité et rassure les personnes concernées.
4) Un choix stratégique pour le responsable de traitement
Enfin, le choix de la base juridique influence l’ensemble du cycle de vie de la donnée :
- Droits des personnes : le droit à la portabilité n’existe que pour le consentement et le contrat ; le droit d’opposition est plus fort face à l’intérêt légitime. La CNIL insiste: choisir un fondement sans penser aux droits, c’est prendre le risque de non‑conformité lors de la première demande d’effacement.
- Preuves à conserver : sous le consentement, il faut tracer chaque recueil et chaque retrait ; sous l’obligation légale, il faut archiver le texte de référence et les instructions internes.
- Évolutivité du traitement : l’intérêt légitime permet de faire évoluer une fonctionnalité (ex.amélioration de service) à condition de réviser la mise en balance, tandis que l’obligation légale reste figée.
En pratique, cartographier les traitements dans un registre, attribuer une base par finalité, rédiger les mentions d’information en conséquence et former les équipes opérationnelles constituent la feuille de route d’une conformité durable.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
