Comprendre les bases legales du RGPD
Le RGPD impose a tout organisme de justifier chaque traitement de donnees personnelles par une base legale. Il en existe six, definies a l’article 6 du reglement. Choisir la bonne base legale est une etape fondamentale de la mise en conformite, car elle conditionne les droits des personnes et les obligations de l’organisme.
Le choix de la base legale doit etre effectue avant le debut du traitement et ne peut pas etre modifie en cours de route. Il est donc essentiel de bien analyser la finalite du traitement pour determiner la base legale la plus appropriee.
Decouvrir DPO France
Base legale 1 : le consentement
Le consentement est l’expression libre, specifique, eclairee et univoque de la volonte de la personne. Il doit pouvoir etre retire a tout moment, aussi facilement qu’il a ete donne. Le consentement est particulierement adapte pour les newsletters, les cookies non essentiels et la prospection commerciale B2C.
Pour etre valable, le consentement doit reposer sur un acte positif clair. Les cases precochees ou le silence ne constituent pas un consentement valide au sens du RGPD.
Base legale 2 : le contrat
Le traitement est licite lorsqu’il est necessaire a l’execution d’un contrat auquel la personne est partie, ou a l’execution de mesures precontractuelles. Cette base legale couvre par exemple la gestion des commandes, la livraison de produits ou la fourniture d’un service souscrit par le client.
Base legale 3 : l’obligation legale
Certains traitements sont imposes par la loi. C’est le cas par exemple des declarations fiscales, de la tenue des registres du personnel ou de la conservation des factures. Dans ce cas, l’organisme n’a pas le choix : il doit traiter les donnees pour respecter ses obligations reglementaires.
Base legale 4 : la sauvegarde des interets vitaux
Cette base legale s’applique dans des situations d’urgence ou la vie de la personne est en danger. Elle est rarement utilisee en pratique et concerne principalement le domaine medical, par exemple lorsqu’une personne inconsciente arrive aux urgences et que ses donnees de sante doivent etre traitees immediatement.
Decouvrir DPO Suite
Base legale 5 : la mission d’interet public
Cette base legale concerne les traitements necessaires a l’execution d’une mission d’interet public ou relevant de l’exercice de l’autorite publique. Elle est principalement utilisee par les administrations, les collectivites territoriales et les organismes charges d’une mission de service public.
Base legale 6 : l’interet legitime
L’interet legitime permet de traiter des donnees lorsque l’organisme poursuit un interet reel et present, a condition que ce traitement ne porte pas atteinte de maniere disproportionnee aux droits et libertes des personnes. Cette base legale necessite une mise en balance documentee entre les interets de l’organisme et ceux des personnes concernees.
L’interet legitime est souvent utilise pour la prospection B2B, la securite informatique ou la prevention de la fraude. Il ne peut pas etre invoque par les autorites publiques dans le cadre de leurs missions.
Comment choisir la bonne base legale
Le choix de la base legale depend de la finalite du traitement et du contexte. Voici quelques reperes pour vous guider. Si le traitement est impose par un texte de loi, la base legale est l’obligation legale. Si le traitement decoule directement d’un contrat avec la personne, la base legale est l’execution du contrat.
Si vous souhaitez envoyer des communications commerciales a des particuliers, le consentement est generalement requis. Pour la prospection entre professionnels, l’interet legitime peut etre invoque, sous reserve de respecter le droit d’opposition.
Dans tous les cas, la base legale choisie doit etre documentee dans le registre des traitements et communiquee aux personnes concernees via la politique de confidentialite.
Decouvrir Focus RGPD
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
