Accueil //Blog //RGPD //DPO //Les bases légales
Crédits photo : Ronae Productions, Pexels

Les bases légales

Le Règlement Européen sur la Protection des Données (RGPD) introduit un certain nombre de principes que tout responsable de traitement doit respecter pour une utilisation conforme des données. En plus des principes phares sur la transparence, la minimisation des données ou encore la limitation des finalités, le principe sur la licéité constitue un élément fondamental de la protection des données. Dans le cas où les données sont traitées de manière illicite, une atteinte aux droits et libertés des personnes concernées existe. De manière générale, la licéité fait référence à tout ce qui est permis par la loi et qui n’est pas contraire aux principes introduits par les textes légaux.

Qu’en est-il de la licéité d’un traitement ?

Un traitement n’est licite que s’il remplit au moins l’une des six conditions listées par l’article 6 du RGPD. On parle de « base légale » ou encore de « fondement juridique ». La base légale autorise la mise en œuvre d’un traitement de données personnelles. Ainsi, un organisme ne peut collecter et utiliser des données appartenant à des personnes que s’il a le droit de le faire, c’est-à-dire dans les seuls cas où une base légale a été identifiée pour le traitement concerné.

Le RGPD prévoit 6 bases légales :

  • Le consentement
  • Le contrat
  • L’obligation légale
  • La sauvegarde des intérêts vitaux
  • L’intérêt public
  • Les intérêts légitimes

Ces bases légales ne s’appliquent pas à tous les traitements de données personnelles et il revient au responsable de traitement de choisir le fondement juridique qui correspond au mieux au traitement en question. A titre d’exemple, les traitements de données personnelles mis en œuvre par les autorités publiques dans le cadre de l’exécution de leurs missions ne peuvent reposer sur les intérêts légitimes poursuivis par le responsable de traitement ou par un tiers.

Qu’en est-il de l’identification de la base légale ?

La détermination de la base légale est une étape clef pour tout traitement de données personnelles. Cette opération doit être effectuée avant la mise en œuvre du traitement. Une réflexion au regard de la situation spécifique et du contexte s’impose. Ce choix n’est toutefois pas toujours facile et nécessite parfois de mener une analyse poussée.

La CNIL présente la démarche qu’elle a suivie pour la définition de la base légale des différents traitements qu’elle met en place :

  • Pour les traitements métiers mis en œuvre par les usagers dans le cadre de leurs missions tels que la gestion des plaintes ou encore la gestion des notifications de violation de données, la base légale choisie est la mission d’intérêt public.
  • Pour les traitements qui ne sont pas nécessaires à l’exercice des missions d’intérêt public mais qui sont obligatoires de par un texte légal tels que la gestion de la paie ou la gestion du temps de travail des usagers, la base légale est l’obligation légale.
  • Pour d’autres traitements qui ne sont pas liés aux missions effectuées par les usagers et qui ne sont pas imposés par la loi tels que la gestion de son portail intranet, la base légale est l’intérêt légitime.
  • Pour les traitements qui concernent le recrutement de ses personnels, la base légale choisie est le contrat.
  • La CNIL ne fonde aucun de ses traitements sur les intérêts vitaux ou encore le consentement, même si elle collecte l’accord des personnes concernées pour certains traitements.

L’autorité de contrôle précise toutefois que cette approche n’est pas obligatoire et que les organismes traitant des données personnelles doivent opter pour la démarche la plus adaptée selon leurs activités.

Dans tous les cas, une attention particulière doit être portée au fondement juridique choisi. La licéité des différentes finalités d’un traitement doit être vérifiée et il convient de ne retenir que la base légale la plus appropriée dans la mesure où cette décision peut avoir un impact sur d’autres obligations telles que la durée de conservation des données ou encore les droits des personnes concernées.

La société Clearview AI a ainsi été mise en demeure par la CNIL pour, entre autres, manquement à l’article 6 du RGPD, ayant collecté des images et des données biométriques sans base légale 1.

Qu’en est-il du lien entre la base légale et les droits des personnes ?

Les personnes concernées doivent être informées des bases légales identifiées. Ainsi, aux termes des articles 13 et 14 du RGPD, le responsable de traitement doit non seulement leur communiquer les finalités du traitement auxquelles sont destinées les données personnelles mais également le fondement juridique sur lequel repose le traitement. La transmission de cette information est indispensable dans la mesure où elle a un impact sur les droits dont bénéficient les personnes concernées. A titre d’exemple :

  • Le droit à la portabilité ne peut s’exercer que pour les traitements dont la base légale est le consentement ou le contrat.
  • Le droit d’opposition ne peut s’exercer qu’à l’égard des traitements fondés sur l’obligation légale.

 

 

1 Décision MED-2021-134 du 26 novembre 2021.

À lire aussi