Selon le RGPD, tu ne peux traiter des données personnelles que si tu as une raison valable : une base légale. La loi en définit exactement six. Pour chaque traitement, tu dois savoir d'avance laquelle s'applique. Sans base, le traitement est illicite, quelles que soient tes bonnes intentions.
Les six bases légales
L'article 6 du RGPD énumère six bases. L'une doit s'appliquer avant de commencer :
- Consentement : la personne a dit oui librement et clairement, et peut le retirer.
- Contrat : le traitement est nécessaire à l'exécution d'un contrat, par exemple livrer une commande.
- Obligation légale : une loi impose le traitement, comme la comptabilité fiscale.
- Intérêts vitaux : nécessaire pour protéger la vie d'une personne, par exemple une urgence médicale.
- Mission d'intérêt public : une mission publique d'intérêt général l'exige.
- Intérêt légitime : tu as un intérêt impérieux qui l'emporte sur l'impact sur la vie privée, après mise en balance.
Le consentement n'est pas toujours le meilleur choix
Beaucoup pensent qu'il faut un consentement pour tout. C'est faux. Le consentement est même une base fragile, car il peut être retiré à tout moment, ce qui t'oblige alors à arrêter.
Pour une commande client, "contrat" est plus logique ; pour une newsletter, souvent "intérêt légitime" ou consentement ; pour la paie, "obligation légale". Choisis la base qui convient vraiment, pas le consentement par défaut.
Intérêt légitime : attention à la mise en balance
La base "intérêt légitime" est souple mais exige une mise en balance réfléchie entre ton intérêt et la vie privée de la personne. La prospection auprès de clients existants peut en relever ; suivre des personnes à leur insu, généralement non.
Consigne cette appréciation. En cas de contrôle de la CNIL, tu dois pouvoir montrer pourquoi ton intérêt l'a emporté et quelles mesures tu as prises pour limiter l'impact.
Comment l'intégrer dans ton programme de sensibilisation
Les bases légales sont trop abstraites pour la plupart des salariés ; vise la reconnaissance, pas le détail juridique.
- Entraîne surtout le réflexe « traiter exige une raison » chez les rôles qui collectent des données, comme le marketing, les RH et le commercial.
- Utilise une aide à la décision ou un exemple par base plutôt que le texte de loi.
- Relie-le à ta politique et à ton registre des traitements, pour que théorie et pratique coïncident.
- Propose l'approfondissement aux référents et propriétaires de processus via notre catalogue de formations.
Articles connexes
- Qu'est-ce que le RGPD ? Les bases en langage clair
- Reconnaître les données personnelles : qu'est-ce qui compte ?
FAQ
Qu'est-ce qu'une base légale dans le RGPD ?
Une raison juridiquement admise de traiter des données personnelles. Le RGPD en définit six (article 6). Au moins une doit s'appliquer à chaque traitement, sinon il est illicite.
Faut-il toujours un consentement ?
Non. Le consentement n'est qu'une des six bases et souvent pas la plus pratique, car il peut être retiré. Pour bien des traitements, le contrat, l'obligation légale ou l'intérêt légitime conviennent mieux.
Qu'est-ce que l'intérêt légitime ?
Une base où ton intérêt impérieux justifie le traitement, à condition qu'il l'emporte sur l'impact sur la vie privée. Tu dois réaliser et documenter cette mise en balance et limiter l'impact autant que possible.
Puis-je changer de base légale en cours de traitement ?
C'est risqué et généralement interdit. Tu détermines la base à l'avance et tu es transparent à son sujet. En changer après coup nuit à la confiance et peut être illicite.
Qui vérifie que ma base est correcte ?
En France la CNIL, en Belgique l'Autorité de protection des données. Elles peuvent demander ta justification, alors consigne quelle base tu as choisie et pourquoi.