Le RGPD propose six bases juridiques, mais elles n’offrent ni les mêmes avantages ni les mêmes contraintes. Entre consentement exigeant, contrat sécurisé ou intérêt légitime souple, comment arrêter son choix? Ce guide détaille les critères, les pièges et les bonnes pratiques pour chaque fondement afin de bâtir une conformité RGPD efficace et durable.
1) Le consentement : un contrôle fort pour la personne concernée
D’abord, le consentement donne à la personne concernée le contrôle direct du traitement. Encore faut‑il qu’il soit libre, spécifique, éclairé et posé par une action positive. Cela exige une information accessible, aucune case pré‑cochée et la faculté de retirer l’accord aussi facilement qu’il a été donné. La portée pratique est double: journaliser la trace du «oui ». Vous devez enregistrer la date, la finalité et la version des conditions. Vous devez aussi prévoir la purge immédiate des données si l’accord change. À défaut, la CNIL juge le consentement invalide. Elle relève alors un manquement à la licéité, comme le montrent plusieurs décisions marketing.
Le principe couvre aussi les cookies non essentiels, la prospection B2C, le parrainage et le suivi de navigation. Le retrait du consentement ne peut jamais être remplacé par une autre base juridique. La Cour de justice rappelle que le fondement se choisit exante et ne se modifie pas selon les opportunités commerciales. Le consentement n’est adapté que lorsque l’utilisateur veut garder la main. Il suppose aussi un investissement technique: CMP, scripts de désactivation, et un dispositif interne de désinscription souvent sous‑estimé.
2) Contrat et mesures précontractuelles : la base incontournable de la relation client
Ensuite, si le traitement est indispensable pour exécuter un contrat demandé par la personne, la base contractuelle s’impose. Elle couvre la préparation d’un devis, la gestion d’une commande, la livraison, le service après‑vente ou la facturation. Le mot‑clé reste « nécessaire ». Tout historique de navigation utilisé pour le profilage marketing dépasse la finalité. Il doit donc reposer sur un autre fondement.
Cette base offre une simplicité appréciable. Aucun retrait n’est possible et les droits restent stables : portabilité et limitation, sans opposition pour motif légitime. La preuve se limite au contrat signé. Cependant, vous devez cartographier chaque donnée et l’obligation contractuelle correspondante. Dans un abonnement, distinguez les informations nécessaires à la livraison. Séparez aussi celles utiles à la facturation récurrente et celles qui améliorent l’offre. Si la frontière reste floue, la CNIL peut requalifier le traitement et constater l’absence de base valable.
La doctrine rappelle qu’être client n’autorise pas à stocker indéfiniment l’adresse ou l’IBAN. La durée de conservation doit aussi rester proportionnée à l’exécution du contrat. Le fondement contractuel offre confort et traçabilité mais exige une documentation rigoureuse. Il demande aussi une vigilance constante lorsque le service évolue.
3) Obligation légale, mission d’intérêt public, intérêts vitaux : des fondements ciblés mais incontournables
Certaines activités sont imposées par un texte impératif. Exemples : déclaration sociale nominative, conservation de factures dixans, transmission fiscale ou maintien de l’ordre public. Dans ces situations, l’obligation légale ou la mission d’intérêt public prime sur tout autre fondement. Le responsable doit citer la référence précise, qu’il s’agisse d’un article, d’un décret ou d’un règlement. Il vérifie aussi que cette norme couvre vraiment toutes les données collectées. Le principe de minimisation demeure. Un registre du personnel n’autorise pas la conservation de l’état civil complet des enfants.
La mission d’intérêt public concerne surtout les collectivités et organismes exerçant une prérogative publique. Une société privée ne l’utilise qu’avec une délégation explicite. La sauvegarde des intérêts vitaux permet un traitement sans consentement pour sauver une vie. Exemple: partager des données médicales d’urgence ou localiser un randonneur perdu. Cette base vaut seulement pendant la phase critique. Une fois le danger écarté, conserver les données devient excessif. Ces trois fondements ne sont pas théoriques. La CJUE et les autorités sanctionnent déjà l’absence de texte habilitant, même dans des fichiers administratifs. Leur usage impose une veille réglementaire constante et une documentation rigoureuse dans le registre des traitements.
4) L’intérêt légitime: flexibilité sous conditions strictes
Enfin, l’intérêt légitime est la base la plus souple et aussi la plus exigeante à justifier. Il couvre souvent la sécurité réseau, la prévention de fraude, l’amélioration de service ou la prospection B2B. Le RGPD impose un test de mise en balance en trois étapes. D’abord la finalité légitime, ensuite la nécessité du traitement, enfin l’équilibre avec les droits des personnes. Le Comité européen recommande d’évaluer la relation (client, salarié, visiteur) et les attentes raisonnables. Il faut aussi examiner la sensibilité des données et les garanties : pseudonymisation, information claire, droit d’opposition. Cette analyse, proche d’un mini DPIA, doit être formalisée, mise à jour et présentée à la CNIL sur demande. Elle est obligatoire: des décisions nationales ont annulé des systèmes de vidéosurveillance ou de scoring interne sans test convaincant.
En pratique, l’intérêt légitime impose un droit d’opposition simple. Un lien «Stop» dans chaque mail ou un formulaire dédié suffit. Si l’objection est fondée, le traitement doit cesser ou être limité. Vous devez garder la preuve du refus, car la CNIL peut la vérifier. Malgré ces contraintes, l’intérêt légitime reste précieux lorsque le consentement est irréaliste. Il est aussi utile si aucun texte n’impose le traitement. Bien géré, il devient un levier d’innovation responsable.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
