Qu’est-ce qu’une base légale ?
Comme nous l’expliquions dans cet article, la base légale d’un traitement, aussi appelée « licéité » ou « fondement juridique » du traitement, est exposée à l’article 61 du Règlement Général sur la Protection des Données. La CNIL définit la base légale comme « ce qui autorise légalement la mise en œuvre d’un traitement, ce qui donne le droit à un organisme de collecter ou d’utiliser des données personnelles », en respectant les règles en matière de protection de la vie privée et des données personnelles.
Ainsi, pour être considéré comme licite, un traitement de données personnelles doit reposer sur l’une des 6 bases légales exposées par le RGPD, qui sont :
- Le consentement de la personne concernée
- Le contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de la personne concernée
- L’obligation légale à laquelle est soumis le responsable de traitements de données personnelles
- La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
- L’exécution d’une mission d’intérêt public
- Les intérêts légitimes poursuivis par les responsables de traitement ou par un tiers
Comment choisir sa base Légale ?
Chacune des finalités pour lesquelles vous traitez des données doit reposer sur une base légale. Mais comment choisir la base légale adéquate ?
Comme l’indique la CNIL (Commission Nationale de l’Informatique et des Libertés), le choix de la base légale est une « opération décisive », qui doit être réalisée avant la mise en œuvre du traitement des données. Dans certains cas, plusieurs bases légales peuvent s’avérer appropriées pour une même finalité, mais il vous faudra en retenir qu’une seule. Pour faire votre choix, vous devrez vous appuyer sur le contexte dans lequel votre traitement est réalisé.
Voici une série de questions que vous pouvez vous poser, pour vous aider à choisir la base légale adéquate.
- Un texte législatif ou réglementaire vous impose-t-il de réaliser le traitement ?
Si la réponse est oui, vous pourrez retenir la base de l’obligation légale. Par exemple, le code du travail impose à un employeur d’éditer les bulletins de paie.
- Existe-t-il un contrat ou un futur contrat entre vous et la personne concernée par le traitement ?
Si la réponse est oui, vous pourrez retenir la base du contrat. Par exemple, traiter l’adresse postale d’un client pour lui envoyer une commande à son domicile, se fera dans le cadre du contrat qui existe entre vous et votre client.
- Votre entité a-t-elle un intérêt légitime à traiter les données ?
Si la réponse est oui, vous pourrez retenir la base de l’intérêt légitime. Par exemple, il est communément admis que la prospection sur un bien ou un service analogue repose sur la base de votre intérêt légitime.
- Votre entité réalise-t-elle le traitement en vertu d’une mission d’intérêt public ?
Si la réponse est oui, vous pourrez retenir la base de la mission d’intérêt public. Par exemple, le recensement national est réalisé sur cette base.
- Votre entité réalise-t-elle le traitement pour protéger les intérêts vitaux d’une personne, qui est dans l’incapacité de donner son consentement ?
Si la réponse est oui, vous pourrez retenir la base de la sauvegarde des intérêts vitaux. Par exemple, les services de secours peuvent accéder aux données d’une personne victime d’un accident afin de sauvegarder les intérêts vitaux de cette personne.
- Pouvez-vous collecter le consentement de la personne concernée ?
Par exemple, la collecte du consentement d’un prospect est nécessaire avant de lui transmettre des communications commerciales par e-mail.
A noter : Pour être valablement recueilli, le consentement doit être libre, spécifique, éclairé et univoque.
Pour vous aider à choisir votre base légale, vous pouvez aussi vous appuyer sur des publications de la CNIL, par exemple sur son référentiel relatif aux activités commerciales, qui indiquent la base légale à retenir dans le cadre de certains traitements. Ou encore, sur les traitements types proposés par défaut dans le logiciel RGPD Data Legal Drive.
A savoir : le choix de la base légale conditionne les droits et libertés des personnes concernées. Par exemple, une personne concernée ne pourra pas s’opposer à un traitement qui repose sur une obligation légale.
Suivre le choix de sa base légale
Bien que la base légale ne soit pas un élément obligatoire du registre des traitements selon l’article 30 du RGPD, les experts Data Legal Drive vous recommandent de tracer cette information au sein de votre registre. En effet, comme il a été évoqué précédemment, la base légale est l’élément sur lequel repose votre traitement. Comme son nom l’indique, c’est ce qui justifie la licéité du traitement de données personnelles que vous réalisez. C’est une information essentielle à transmettre à votre autorité de contrôle en cas d’audit, pour éviter tout risque de sanction. Il est donc important de tracer à l’écrit le choix de la base légale retenue par votre organisation, sous la supervision de votre Délégué à la Protection des Données (Data Protection Officer, ou autre personne en charge de la protection des données personnelles au sein de votre entreprise).
Pour aller plus loin
- CNIL : L’obligation légale : dans quels cas fonder un traitement sur cette base légale ? Lire l’article
- Le contrat : dans quels cas fonder un traitement sur cette base légale ? Lire l’article
- La mission d’intérêt public : dans quels cas fonder un traitement sur cette base légale ? Lire l’article
- L’intérêt légitime : comment fonder un traitement sur cette base légale ? Lire l’article
- Consentement : Quand une case à cocher embrase les réseaux sociaux – Lire l’article
- Conformité RGPD : comment recueillir le consentement des personnes ? – Lire l’article