Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des « bases légales » prévues par le RGPD. La détermination de la base légale appropriée est une étape-clé pour les organismes. La CNIL propose quelques explications pour aborder méthodiquement cette opération.
Qu’est-ce que la « base légale » d’un traitement de données personnelles ?
La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.
Quelles sont les bases légales prévues par le RGPD ?
Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :
- le consentement : la personne a consenti au traitement de ses données ;
- le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
- l’obligation légale : le traitement est imposé par des textes légaux ;
- la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
- l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
- la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.
Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.
Exemple : un fichier « clients et prospects » d’une entreprise peut poursuivre plusieurs finalités, qui doivent chacune reposer sur une base légale : le contrat pour la gestion des commandes, des livraisons ou du service après-vente ; l’obligation légale pour la tenue de la comptabilité ; le consentement pour les opérations de prospection commerciale par voie électronique ; etc.
Pourquoi est-ce important de s’interroger sur la base légale de ses traitements de données ?
Tout d’abord, parce qu’il est interdit de traiter des données personnelles sans base légale. Le RGPD prévoit que tout traitement de données doit être « licite » : pour pouvoir légalement être mis en œuvre, il doit donc se fonder sur une des 6 bases légales prévues par le RGPD.
Ensuite, parce que chaque base légale obéit à des conditions spécifiques. Par exemple, l’organisme qui souhaite fonder ses traitements sur le consentement des personnes devra vérifier que le consentement est libre, éclairé, spécifique et exprès.
Enfin, parce que les différentes bases légales n’ont pas les mêmes conséquences sur les droits des personnes dont les données sont traitées.
Par exemple : le droit à la portabilité ne peut s’exercer qu’à l’égard de traitements dont la base légale est le consentement ou le contrat ; le droit d’opposition n’est, pour sa part, pas applicable aux traitements fondés sur l’obligation légale.
Le choix de la base légale doit intervenir avant tout début de mise en œuvre du traitement des données.
Comment concrètement déterminer la base légale d’un traitement ?
Le RGPD ne crée pas de hiérarchie entre les différentes bases légales. Par exemple, le consentement ne prévaut pas sur les autres bases légales. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement, au cas par cas.
Pour guider sa réflexion, le responsable de traitement peut se poser les questions suivantes :
1. Les textes imposent-ils ou excluent-ils une base légale spécifique ?
- Exemple de base légale imposée : dans le cas d’une prospection commerciale réalisée par voie électronique, le consentement est exigé par des dispositions légales spécifiques (code des postes et des communications électroniques).
- Exemple de base légale exclue : dans le cas d’une autorité publique, le RGPD interdit de fonder les traitements qu’elle met en œuvre dans l’exécution de ses missions sur son intérêt légitime.
Dans de tels cas, la détermination de la base légale du traitement est automatique ou facilitée.
2. Quel est le contexte général de mise en œuvre du traitement ?
Souvent, le contexte orientera vers certaines bases légales ou au contraire conduira à en écarter certaines, même s’il faut éviter tout automatisme.
On pourra notamment tenir compte :
- du type d’organisme (privé ou public, chargé ou non d’une mission de service public, etc.) ;
- du secteur d’activité (santé, ressources humaines, marketing, etc.) ;
- de l’objectif général poursuivi (commercial, intérêt général, etc.) ;
- du degré d’autonomie de l’organisme (les textes lui imposent-ils de mettre en œuvre le traitement de données ou le fait-il de sa propre initiative ?) ;
- du degré de maîtrise des personnes sur leurs propres données ;
- de l’existence ou non d’un cadre contractuel ;
- etc.
Par exemple :
- si le traitement est mis en œuvre dans le cadre d’une relation contractuelle entre une entreprise et ses clients, il y a lieu de s’orienter d’abord vers la base légale « contrat » ;
- si le traitement est imposé à l’organisme par des dispositions légales, la base juridique « obligation légale » doit être privilégiée ;
- si un organisme public souhaite mettre en œuvre un traitement dans le cadre de ses missions, la « mission d’intérêt public » constituera probablement la base légale la plus adaptée.
Attention : l’organisme doit se demander, à chaque fois, si le traitement est bel et bien « nécessaire » à la base juridique pressentie.
Par exemple :
- si le traitement, mis en œuvre dans le contexte d’un contrat entre l’organisme et une personne, va au-delà de ce qui est objectivement nécessaire à l’exécution de ce contrat et sert d’autres besoins propres à l’organisme, la base légale « contrat » ne pourra pas être retenue.
Cas pratique : le traitement des coordonnées postales d’une personne est nécessaire en cas de livraison d’un produit, mais la collecte de sa date de naissance n’est pas nécessaire à l’exécution de ce contrat. Le traitement de cette donnée peut poursuivre une autre finalité (des actions de fidélisation, par envoi de courriels aux dates d’anniversaire des clients, par exemple), qui doit dès lors se fonder sur une autre base légale (intérêt légitime ou consentement, par exemple).
- si le traitement répond à une obligation légale, l’organisme ne peut pas ajouter des données non nécessaires à la mise en œuvre de son obligation ni poursuivre d’autres objectifs que celle-ci.
Cas pratique : la tenue du registre de l’état civil est une obligation légale pour les communes. La diffusion de ces évènements familiaux, dans la presse ou sur tout autre support, va au-delà de cette obligation et doit donc être fondée sur une autre base légale (par exemple, le consentement des personnes concernées recueilli au moment de l’établissement de l’acte).
3. Les conditions propres à la base légale envisagée sont-elles remplies ?
Chaque base légale obéit à des conditions spécifiques. Lorsque l’organisme envisage de retenir une base en particulier, il doit vérifier que ces conditions sont remplies.
Par exemple :
- le consentement doit être libre, spécifique, éclairé et univoque pour être valablement recueilli et constituer dès lors la base légale du traitement. Si l’une de ces conditions n’est pas remplie, le consentement ne peut pas constituer la base légale du traitement.
- si le traitement porte une atteinte excessive aux droits et libertés des personnes, l’intérêt légitime ne pourra fonder légalement sa mise en œuvre.
Si les conditions propres à la base légale envisagée ne sont pas remplies, l’organisme doit, soit modifier les paramètres de son traitement de données pour parvenir à les respecter, soit rechercher une autre base légale.
En pratique, pour les traitements les plus courants, la méthodologie pour définir la base légale peut être prise en charge par la CNIL qui illustre, dans les référentiels qu’elle publie progressivement sur les principales catégories de traitements, les cas et les circonstances dans lesquels les bases légales peuvent être valides pour les responsables du traitement.
Où doit-on mentionner la base légale choisie ?
La ou les bases légales du traitement (si le traitement poursuit plusieurs finalités) doivent être mentionnées dans les éléments d’information fournis aux personnes dont les données sont traitées.
Bonnes pratiques
- Il est recommandé de documenter le choix de la base légale :
Ce choix doit en effet faire l’objet d’une attention particulière de la part du responsable du traitement et, dans certains cas, cette opération peut être délicate et donner lieu à des hésitations. Il peut donc être utile de documenter le choix réalisé afin de démontrer la démarche d’interrogation et de recherche de la base légale la plus appropriée, notamment en cas de contrôle de la CNIL.
- Il peut également être utile de mentionner les bases légales dans le registre :
Cela permet à l’organisme concerné, ou à son délégué à la protection des données (DPD) si celui-ci est chargé de la tenue du registre, de disposer d’une vision d’ensemble sur le traitement et renforce ainsi sa fonction d’outil de pilotage et de démonstration de la conformité au RGPD. Cela facilite par exemple l’élaboration des mentions d’informations à fournir aux personnes concernées.
C’est pourquoi la CNIL a fait ce choix d’intégration des bases légales des traitements dans son propre registre.
Focus : base légale et traitement de données « sensibles »
Les données dites sensibles, mentionnées à l’article 9 du RGPD, sont celles qui sont relatives à l’intimité de la vie privée, à savoir les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé et la vie sexuelle ou l’orientation sexuelle d’une personne.
Par principe, le traitement des données sensibles est interdit, mais le RGPD prévoit plusieurs exceptions à cette interdiction, par exemple :
- si la personne concernée a donné son consentement exprès ;
- si les informations sont rendues publiques par la personne concernée ;
- si elles sont nécessaires à la sauvegarde de la vie humaine ;
- si leur utilisation est justifiée par l’intérêt public ;
- si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Ces exceptions peuvent uniquement être mobilisées pour déroger au principe d’interdiction du traitement de ces données. Elles ne constituent pas la « base légale » du traitement mis en œuvre.
Le traitement de données sensibles ne peut intervenir que si les deux conditions cumulatives suivantes sont remplies :
- le traitement est valablement fondé sur une des bases légales prévues à l’article 6 du RGPD ;
- une des exceptions mentionnées à l’article 9 du RGPD est applicable au traitement concerné.
En pratique, une continuité pourra être recherchée entre les deux catégories de dispositions, sans pour autant être systématiquement nécessaire. Par exemple, un traitement fondé sur le consentement des personnes pourra facilement mobiliser l’exception du consentement exprès pour permettre le traitement de données sensibles.
Source : La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD | CNIL
Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.
Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.
LeNetExpert Formations