Les bases légales du RGPD

Quelles sont les bases légales prévues par le RGPD ?

Le traitement des données à caractère personnel repose sur les bases légales prévues par les dispositions de l’article 6 du RGPD :

• le consentement : cela signifie que la personne a consenti au traitement de ses données ;
• le contrat : le traitement est nécessaire à l’exécution ou la préparation d’un contrat avec la personne concernée ;
• l'obligation légale : le traitement est imposé par des textes légaux ;
• la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
• l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et des intérêts des personnes dont les données ;
• la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

La Commission Nationale de l’Informatique et des Libertés (CNIL) est venue préciser dans ses recommandations, qu’un même traitement de données poursuivant plusieurs finalités, c’est-à-dire plusieurs objectifs, doit avoir une base légale définie pour chacune de ces finalités. En revanche, il est impossible d’additionner plusieurs bases légales pour une même finalité.

En quoi la base légale de ses traitements est nécessaire ?

Le RGPD prévoit que tout traitement de donnée doit être licite afin de pouvoir légalement être mis en œuvre. Ainsi, il devra reposer sur l’une des six bases légales prévues par le RGPD.

Par ailleurs, chaque base légale obéit à des conditions spécifiques comme l’illustre la CNIL dans l’exemple suivant : l’organisme qui souhaite fonder ses traitements sur le consentement des personnes devra vérifier que le consentement soit libre, éclairé, spécifique et exprès.

En outre, les différentes bases légales n’ont pas les mêmes conséquences sur les droits des personnes dont les données sont traitées.

Le choix de la base légale doit intervenir avant tout début de mise en œuvre du traitement des données.

Comment déterminer la base légale d’un traitement ?

L’article 6 du RPGD n’a pas déterminer de hiérarchie entre ces six bases légales, celle-ci devra de facto être déterminée par le responsable de traitement de manière adaptée à la situation et au type de traitement, au cas par cas.

Quel est le contexte général de mise en œuvre du traitement ?

Le contexte peut orienter certaines bases légales ou au contraire conduire à en écarter certaines, bien qu'il faille, selon la CNIL, éviter tout automatisme. Sera pris en compte :

• le type d’organisme : privé ou public, chargé ou non d’une mission de service public ;
• le secteur d’activité : santé, ressources humaines, marketing ;
• l’objectif général poursuivi : commercial, intérêt général ;
• le degré d’autonomie de l’organisme : les textes lui imposent-ils de mettre en œuvre le traitement de données ou le fait-il de sa propre initiative ? ;
• le degré de maîtrise des personnes sur leurs propres données ;
• l’existence ou non d’un cadre contractuel.

L’organisme doit donc se demander si le traitement est bien nécessaire à la base juridique pressentie.

Par exemple, dans le cas où le traitement répond à une obligation légale, l’organisme ne pourra ajouter des données non nécessaires à la mise en œuvre de son obligation ni poursuivre d’autres objectifs que celle-ci.

Remplir les conditions propres à la base légale envisagée

Il convient de préciser que chaque base légale répond à des conditions spécifiques.

Lorsque l’organisme envisage de retenir une base, il est tenu de vérifier que ces conditions soient remplies. A contrario, l’organisme doit, soit modifier les paramètres de son traitement de données pour parvenir à les respecter soit rechercher une autre base légale.

Où mentionner la base légale choisie ?

La ou les bases légales du traitement doivent être mentionnées dans les éléments d’information fournis aux personnes concernées.

La CNIL a publié sur son site un guide de bonnes pratiques à ce sujet destiné aux responsables du traitement.

Quelle base légale et quel traitement pour les données dîtes « sensibles » ?

Mentionnées à l’article 9 du RGPD, ces données sont celles relatives à l’intimité de la vie privée, à savoir les informations qui révèlent :

• l’origine raciale ou ethnique ;
• les opinions politiques ;
• les convictions religieuses ou philosophiques ;
• l’appartenance syndicale ;
• les données génétiques ;
• les données biométriques ;
• les données concernant la santé et la vie sexuelle ou l’orientation sexuelle d’une
  personne.

En principe, le traitement de ces données est prohibé néanmoins le RGPD prévoit plusieurs exceptions à cette interdiction, dans le cas où :

• la personne concernée a donné son consentement exprès ;
• les informations sont rendues publiques par la personne concernée ;
• elles sont nécessaires à la sauvegarde de la vie humaine ;
• leur utilisation est justifiée par l’intérêt public ;
• elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

Ces exceptions peuvent uniquement être mobilisées pour déroger au principe d’interdiction du traitement de ces données, elles ne constituent pas la « base légale » du traitement mis en œuvre.

Le traitement de données sensibles n’interviendra que si les deux conditions cumulatives suivantes sont remplies :

• le traitement est valablement fondé sur une des bases légales prévues à l’article 6 du RGPD ;
• une des exceptions mentionnées à l’article 9 du RGPD est applicable au traitement.

Dans la pratique, une continuité pourra être recherchée entre les deux catégories de dispositions, sans être systématiquement nécessaire.

Un traitement des données fondé sur le consentement des personnes pourra facilement mobiliser l’exception du consentement exprès pour permettre le traitement de données sensibles.


Cet article a été rédigé en partenariat avec AD&JURIS INNOV.