Choisir la bonne base légale n’est pas une formalité administrative. C’est le point de départ de tout traitement de données personnelles conforme au RGPD. Une newsletter, un fichier RH, un outil de prospection ou une caméra de surveillance ne reposent pas forcément sur le même fondement juridique. La méthode consiste à partir de l’objectif poursuivi, puis à vérifier quel cadre autorise réellement l’usage des données.
La base légale, parfois appelée fondement juridique, désigne la justification prévue par le RGPD qui permet à un organisme de traiter des données personnelles. Sans elle, le traitement n’est pas licite, même si les données collectées semblent ordinaires ou peu sensibles.
Le règlement européen impose d’identifier cette base avant le début du traitement. Ce choix influence ensuite l’information fournie aux personnes, leurs droits, la durée de conservation, les mesures de sécurité et la capacité de l’organisation à démontrer sa conformité en cas de contrôle.
La première question à poser est simple : pourquoi ces données sont-elles utilisées ? La finalité doit être précise, concrète et compréhensible. « Gérer les ressources humaines » est trop large. « Établir les bulletins de paie des salariés » est une finalité identifiable.
Cette étape évite une erreur fréquente : choisir une base légale en fonction de ce qui paraît le plus pratique. Par exemple, demander le consentement d’un salarié pour produire sa fiche de paie n’a pas de sens, car l’employeur doit respecter une obligation légale et contractuelle. À l’inverse, envoyer une communication commerciale à un prospect peut nécessiter un consentement ou reposer sur un autre cadre selon le contexte.
La finalité sert aussi à appliquer le principe de minimisation : seules les données nécessaires doivent être collectées. Un formulaire d’inscription à une newsletter n’a généralement pas besoin de demander une date de naissance ou une adresse postale. Cette logique est détaillée dans une analyse consacrée à la collecte limitée aux données utiles.
L’article 6 du RGPD prévoit six bases légales. Le consentement est valable lorsque la personne accepte librement, de façon spécifique, éclairée et univoque. Il doit pouvoir être retiré aussi facilement qu’il a été donné. Il est adapté, par exemple, à l’inscription à certaines communications marketing non sollicitées.
L’exécution d’un contrat autorise les traitements nécessaires à la fourniture d’un service demandé par la personne : livraison d’une commande, création d’un compte client, gestion d’un abonnement. L’obligation légale s’applique lorsque la loi impose le traitement, comme la conservation de factures ou certaines déclarations sociales.
Les trois autres bases sont moins courantes mais importantes. La sauvegarde des intérêts vitaux concerne des situations d’urgence, par exemple médicale. La mission d’intérêt public ou relevant de l’autorité publique vise principalement les administrations et organismes investis d’une mission publique. Enfin, l’intérêt légitime peut être invoqué par un organisme privé lorsqu’il poursuit un objectif licite, proportionné et compatible avec les droits des personnes.
Dans la pratique, la confusion se concentre souvent autour de ces trois bases. Le consentement n’est pas une solution universelle. S’il existe un déséquilibre entre l’organisme et la personne, comme dans une relation employeur-salarié, il sera rarement considéré comme libre. Il doit aussi être prouvé et documenté.
Le contrat ne couvre que ce qui est nécessaire à son exécution. Une plateforme de livraison peut traiter l’adresse d’un client pour acheminer un colis. En revanche, utiliser cette adresse pour établir un profil publicitaire ne relève pas automatiquement du contrat.
L’intérêt légitime exige un raisonnement en trois temps : identifier l’intérêt poursuivi, vérifier que le traitement est nécessaire, puis s’assurer qu’il ne porte pas une atteinte excessive aux droits et libertés des personnes. Une entreprise peut, par exemple, sécuriser son réseau informatique sur ce fondement, à condition de limiter les données surveillées et d’informer clairement les utilisateurs.
Toutes les données personnelles ne présentent pas le même niveau de risque. Les données de santé, opinions politiques, convictions religieuses, données biométriques ou informations relatives à l’orientation sexuelle font partie des catégories particulières de données. Leur traitement est en principe interdit, sauf exception prévue par l’article 9 du RGPD.
Il ne suffit donc pas d’identifier une base légale au titre de l’article 6. Si des données sensibles sont concernées, il faut également vérifier qu’une condition spécifique autorise leur traitement : consentement explicite, obligation en matière de droit du travail, intérêt public important, médecine préventive ou encore gestion des soins de santé.
Le contexte compte aussi. Un dispositif de vidéosurveillance dans un entrepôt n’appelle pas la même analyse qu’une caméra dans une salle de pause. De même, un outil d’analyse de productivité peut créer un risque élevé s’il permet un suivi individualisé et permanent des salariés. Dans ces situations, une évaluation approfondie des risques pour les personnes peut être nécessaire.
Le RGPD repose sur une logique de preuve. L’organisme doit pouvoir démontrer qu’il a choisi une base légale adaptée et qu’il respecte les obligations associées. Cette exigence s’inscrit dans le principe d’accountability appliqué à la conformité RGPD, qui impose de formaliser les décisions plutôt que de se limiter à des déclarations d’intention.
Le registre des activités de traitement est l’un des outils centraux de cette démarche. Il recense notamment les finalités, les catégories de données, les personnes concernées, les destinataires, les durées de conservation et la base légale retenue. Un suivi structuré, comme celui présenté dans un registre conforme aux exigences du RGPD, facilite les contrôles internes et les réponses aux autorités.
Cette documentation doit rester vivante. Si la finalité change, la base légale doit être réexaminée. Une base choisie pour gérer une commande ne permet pas automatiquement de réutiliser les données pour entraîner un algorithme ou enrichir une base marketing.
La base légale choisie a des conséquences directes sur les droits que les personnes peuvent exercer. Le droit d’opposition, par exemple, joue un rôle central lorsque le traitement repose sur l’intérêt légitime ou sur une mission d’intérêt public. L’organisme doit alors pouvoir démontrer des motifs légitimes impérieux pour poursuivre le traitement dans certains cas.
Lorsque le traitement repose sur le consentement, la personne peut le retirer à tout moment, sans que cela remette en cause la licéité des traitements déjà effectués. Si le traitement est fondé sur un contrat ou le consentement et réalisé par des moyens automatisés, le droit à la portabilité peut également s’appliquer. Les conditions de ce droit sont expliquées dans une ressource dédiée à la transmission des données dans un format réutilisable.
L’information délivrée aux personnes doit donc être cohérente avec la base légale. Une politique de confidentialité qui mentionne toutes les bases possibles sans les relier aux traitements concernés manque de clarté. Les personnes doivent comprendre ce qui est fait de leurs données et pourquoi.
Déterminer une base légale n’est pas un acte figé. Les pratiques évoluent, les outils changent, les données collectées s’enrichissent parfois progressivement. Une solution CRM, un logiciel RH ou une plateforme d’analyse d’audience peut introduire de nouveaux traitements qui n’avaient pas été envisagés au départ.
Une revue périodique permet d’identifier les écarts : données conservées trop longtemps, finalité devenue obsolète, consentement mal recueilli, intérêt légitime insuffisamment équilibré. Elle est particulièrement utile lors du lancement d’un nouveau service, d’un changement de prestataire, d’une fusion de bases de données ou d’un déploiement d’intelligence artificielle.
La bonne méthode consiste à rester pragmatique : définir la finalité, identifier les données nécessaires, choisir la base légale la plus pertinente, informer les personnes et conserver la preuve du raisonnement. C’est cette discipline, plus que la recherche d’une formule standard, qui permet de construire un traitement de données solide, conforme et compréhensible.
