- Le blog et les actualités de Witik
- RGPD : quelle base légale choisir pour être conforme ?
RGPD et bases légales : laquelle choisir pour être en conformité ?
:format(webp))
Le RGPD repose sur un principe fondamental : chaque traitement de données personnelles doit avoir une justification juridique solide, appelée "base légale". Cette obligation légale permet d'encadrer l'utilisation des données et de protéger les droits des personnes concernées. Choisir la bonne base juridique est crucial pour assurer la conformité et éviter d'éventuelles sanctions de la CNIL ou d'autres autorités de protection des données.
Qu’est-ce qu’une base légale et pourquoi est-elle obligatoire ?
L’article 6 du RGPD définit les bases légales sur lesquelles un responsable de traitement peut s’appuyer pour collecter et utiliser des données personnelles.
Les bases légales permettent de garantir que le traitement des données est effectué dans un cadre juridique clair et conforme. Elles assurent que les droits des personnes concernées sont respectés et encadrent la responsabilité du responsable du traitement.
💡 Rappel : Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Chaque traitement de données personnelles doit être inscrit dans le registre des activités de traitement et référencer sa base légale correspondante.
Ne pas disposer d’une base légale appropriée peut entraîner des sanctions financières et des actions en justice, en particulier si les droits des personnes concernées ne sont pas respectés. La CNIL veille à l'application stricte des règles de protection des données.
Les six bases légales du RGPD : lesquelles choisir et quand ?
L’article 6 du RGPD prévoit que le traitement n’est licite que si l’une des conditions suivantes est remplie :
Recueil du consentement (article 6.1.a)
Le consentement est la base légale la plus connue et souvent utilisée pour le traitement des données personnelles. Pour être valide, il doit être :
Libre (sans pression ou contrainte),
Informé (la personne concernée doit comprendre à quoi elle consent),
Spécifique (lié à un traitement défini),
Univoque (manifesté par une action claire et positive).
Il doit être obtenu avant tout traitement et peut être retiré à tout moment.
Exemples :
Un utilisateur qui accepte les cookies via une bannière de consentement,
Une inscription à une newsletter via un formulaire avec case à cocher non pré-cochée.
L’exécution d’un contrat (article 6.1.b)
Lorsqu’un traitement des données est nécessaire à l’exécution d’un contrat entre une organisation et une personne concernée, cette base juridique s’applique.
Exemples :
La collecte d’une adresse postale pour livrer une commande,
L’enregistrement des informations bancaires pour un abonnement payant.
L’obligation légale (article 6.1.c)
Certains traitements de données sont imposés par la loi, ce qui constitue une base juridique en soi.
Exemples :
Conservation des factures pendant 10 ans pour des raisons fiscales,
Déclaration des employés à la sécurité sociale.
La sauvegarde des intérêts vitaux (article 6.1.d)
Cette base légale est rare et s’applique uniquement lorsque le traitement est nécessaire pour protéger une vie humaine.
Exemples :
Partage d’informations médicales en cas d’urgence,
Identification d’une personne inconsciente à l’hôpital.
L’exécution d’une mission d’intérêt public (article 6.1.e)
Utilisée principalement par les administrations publiques et les organismes délégataires de mission d'intérêt public.
Exemples :
Recensement de la population,
Gestion des établissements scolaires publics.
L’intérêt légitime (article 6.1.f)
L’intérêt légitime permet aux entreprises de traiter des données à condition que cela ne porte pas atteinte aux droits des personnes concernées.
Exemples :
Vidéosurveillance pour protéger un local contre le vol,
Analyse des interactions des clients avec un site web pour améliorer l’expérience utilisateur.
Comment bien choisir la base légale adaptée à son traitement ?
Le choix de la base légale doit être mûrement réfléchi afin d'éviter tout risque de non-conformité. Voici les critères à considérer :
Finalité du traitement des données : Pourquoi collectez-vous ces données personnelles ? Assurez-vous que la finalité soit claire, déterminée et explicite.
Obligation légale : La loi impose-t-elle ce traitement ? Si oui, référencez les textes législatifs justifiant ce traitement.
Droits des personnes concernées : Y a-t-il un impact sur la vie privée des individus ? Si un risque existe, prévoyez des mesures pour minimiser cet impact et informez les personnes concernées de leurs droits.
Possibilité de retirer le consentement : Si la base repose sur le consentement, assurez-vous que ce dernier puisse être retiré aussi facilement qu'il a été donné.
Documenter la base juridique : Chaque traitement doit être enregistré dans le registre des activités de traitement, avec sa base légale et les justificatifs associés.
Un audit interne et une analyse des bases juridiques sont fortement recommandés pour garantir la conformité.
Checklist : Suis-je en conformité avec ma base légale ?
✔ Ai-je défini clairement la finalité du traitement ?
✔ La base légale choisie est-elle la plus pertinente ?
✔ Puis-je justifier mon choix en cas de contrôle ?
✔ Ai-je bien documenté cette base légale dans mon registre de traitement ?
✔ Les personnes concernées sont-elles informées de cette base légale ?
Les erreurs fréquentes à éviter
Erreur N°1 : Utiliser le consentement par défaut
Beaucoup d’entreprises utilisent à tort le consentement, alors qu’un intérêt légitime serait plus adapté, notamment pour la prospection B2B ou certaines analyses internes.
Erreur N°2 : Ne pas documenter la base juridique
Chaque traitement de données personnelles doit être enregistré avec sa base légale dans le registre des activités de traitement, avec les justificatifs appropriés. L’absence de documentation peut entraîner des sanctions en cas de contrôle.
Erreur N°3 : Changer de base en cours de route
Une entreprise ne peut pas basculer d’un consentement à un intérêt légitime sans revoir sa politique de traitement et en informant les personnes concernées.
Erreur N°4 : Utiliser une base juridique non adaptée
Choisir une base légale inappropriée peut rendre le traitement illégal. Par exemple, invoquer l'exécution d'un contrat pour justifier un suivi marketing non directement lié à la prestation est une erreur.
Erreur N°5 : Ne pas respecter les droits des personnes concernées
Indépendamment de la base légale choisie, les droits des individus (droit d'accès, droit de rectification, droit d'opposition, droit à la portabilité, effacement) doivent être respectés et facilement exercés.
Le choix de la base légale est un enjeu crucial pour toute organisation traitant des données personnelles. Documenter correctement ses bases légales et respecter les principes de protection des données assurent une conformité durable.
:format(webp))
