LegamapexDroit du numérique européen
Retour aux fiches
RGPDRGPDTraitementConsentement

Les bases légales du traitement (RGPD)

En vertu du principe de licéité du traitement posé par l'article 5, paragraphe 1, point a) du RGPD, tout traitement de données personnelles doit reposer sur l'une des six bases légales énumérées à l'article 6. L'absence de base légale valide constitue une violation du RGPD susceptible de sanction.

Vue d'ensemble des 6 bases légales (article 6 RGPD)

L'article 6 RGPD liste de façon exhaustive les bases légales : (a) Consentement ; (b) Exécution d'un contrat ; (c) Obligation légale ; (d) Sauvegarde des intérêts vitaux ; (e) Mission d'intérêt public ou exercice de l'autorité publique ; (f) Intérêts légitimes. Ces bases sont alternatives : il suffit qu'une seule s'applique. Le responsable du traitement doit déterminer la base légale AVANT de commencer le traitement, et en informer les personnes concernées.

(a) Le consentement

Le consentement doit être libre, spécifique, éclairé et univoque (article 4(11) RGPD). Il doit être donné par un acte positif clair. Concrètement :
  • Pas de cases précochées : la personne doit cocher elle-même.
  • Pas de déduction du silence : ne pas répondre à un email ne vaut pas consentement.
  • Retrait facile : la personne peut retirer son consentement à tout moment, aussi facilement qu'elle l'a donné.
  • Non adapté aux relations employeur/salarié, en raison du déséquilibre de pouvoir.
  • Pour les mineurs de moins de 15 ans en France : consentement des parents requis.
Exemple concret — le bandeau cookies : lorsque vous arrivez sur un site web, une fenêtre apparaît : « Acceptez-vous que nous utilisions des cookies publicitaires pour personnaliser votre expérience ? » avec les boutons « Accepter » et « Refuser ». C'est un mécanisme de recueil du consentement. Si le bouton « Refuser » est caché ou peu visible, si les cookies sont déjà cochés par défaut, ou si refuser est plus difficile qu'accepter, le consentement n'est pas valide au sens du RGPD — la CNIL a sanctionné plusieurs grandes entreprises pour ce motif.

(b) Exécution d'un contrat

Le traitement est licite s'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou à l'exécution de mesures précontractuelles prises à sa demande. Le critère de nécessité est strict : le traitement doit être objectivement indispensable pour exécuter le contrat, pas simplement utile ou pratique. Exemple : traiter l'adresse de livraison d'un client pour exécuter une commande en ligne.

(c) Obligation légale

Le traitement est licite s'il est nécessaire au respect d'une obligation légale à laquelle le responsable est soumis. La loi en question doit être suffisamment précise et prévisible. Cette base s'applique, par exemple :
  • À la conservation des bulletins de paie par un employeur (obligation issue du Code du travail).
  • À la transmission de données fiscales à l'administration (obligation issue du Code général des impôts).
Le critère de nécessité est important : le traitement doit être indispensable pour respecter l'obligation, pas simplement utile.

(d) Sauvegarde des intérêts vitaux

Base légale résiduelle, applicable uniquement dans des situations d'urgence où la personne est dans l'incapacité physique ou juridique de donner son consentement et où sa vie ou celle d'une autre personne est en danger immédiat. Exemple : un médecin urgentiste qui accède au dossier médical d'un patient inconscient. Cette base ne peut pas être utilisée si la personne est en mesure de consentir.

(e) Mission d'intérêt public

Traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. C'est la base légale typique des administrations publiques, des organismes de sécurité sociale, des universités dans le cadre de leurs missions de service public. Cette base ne peut pas être invoquée par des organismes privés agissant dans un intérêt purement commercial.

(f) Intérêts légitimes

Base la plus flexible, applicable aux organismes privés. Elle nécessite un test de mise en balance en trois étapes, que le responsable doit documenter :
  • Identifier un intérêt légitime du responsable ou d'un tiers (intérêt commercial, sécurité, prévention de la fraude…).
  • Démontrer que le traitement est nécessaire à cet intérêt (pas simplement utile ou pratique).
  • Vérifier que les intérêts ou droits fondamentaux des personnes concernées ne prévalent pas sur cet intérêt (test de proportionnalité).
Cette base ne s'applique pas aux autorités publiques dans l'exercice de leurs missions, ni au traitement de données de mineurs à des fins commerciales.

Articles clés à connaître

  • Article 5(1)(a) RGPDPrincipe de licéité : tout traitement doit reposer sur une base légale valide.
  • Article 6 RGPDListe exhaustive des 6 bases légales : consentement, contrat, obligation légale, intérêts vitaux, intérêt public, intérêts légitimes.
  • Article 4(11) RGPDDéfinition du consentement : manifestation de volonté libre, spécifique, éclairée et univoque.
  • Article 7 RGPDConditions du consentement : charge de la preuve, droit de retrait, proportionnalité.
  • Article 13 RGPDObligation d'informer la personne concernée de la base légale du traitement au moment de la collecte.

💡 Exemple concret

Une entreprise envoie une newsletter commerciale : (1) Si elle utilise le consentement → elle doit avoir une case à cocher spécifique pour la newsletter, non précochée. (2) Si elle veut utiliser les intérêts légitimes → elle doit démontrer que son intérêt commercial est réel, que la newsletter est nécessaire à cet intérêt, et que l'intérêt des abonnés (ne pas être spammés) ne l'emporte pas. La CNIL recommande le consentement pour les communications marketing B2C.

Pièges à éviter

  • On ne peut pas changer de base légale en cours de route : si le traitement a débuté sur la base du consentement, on ne peut pas switcher vers les intérêts légitimes si le consentement est retiré.
  • Le consentement n'est pas la 'meilleure' base légale dans tous les cas : si une obligation légale s'applique, il faut l'utiliser, et le consentement ne peut pas la remplacer.
  • Les intérêts légitimes ne sont pas une base légale 'fourre-tout' : le test de mise en balance est exigeant et doit être documenté.
  • Pour les données sensibles (article 9), une base légale supplémentaire spécifique est requise en plus de l'article 6.

L'essentiel à retenir

  • 6 bases légales exhaustives : aucune autre n'est possible.
  • La base légale doit être choisie AVANT le début du traitement et communiquée aux personnes.
  • Consentement : libre, spécifique, éclairé, univoque, et retirable à tout moment.
  • Intérêts légitimes : nécessite un test de mise en balance documenté.
  • Pour les données sensibles (article 9), une condition supplémentaire de l'article 9(2) est toujours nécessaire.