L’article 6 du RGPD est véritablement l’article au cœur de la protection des données personnelles, puisque c’est lui qui établit la licéité d’un traitement de données. Il est un pilier de la responsabilisation des entreprises et des organisations. La licéité d’un traitement de données personnelles correspond à sa base légale : il va venir justifier et légitimer le traitement de données réalisé par l’organisation (entreprise privée ou organisme public).
Dit autrement, une base légale c’est le fondement juridique qui nous autorise à traiter telle ou telle donnée. Attention, il est tout de même important de le rappeler, mais la première étape avant même de justifier un traitement de données personnelles par une base légale, est veiller à ce que la collecte, l’utilisation ou la manipulation de ces données soient nécessaires. Par exemple, on n’effectue pas de traitement de données personnelles sans une finalité précise (c’était tout l’objet de l’article précédent).
Il appartient au responsable de traitement de déterminer la base légale appropriée, la situation et le traitement de donnée concerné avec les conseils et recommandations de son DPO.
Il existe 6 bases légales énoncées à l’article 6 du RGPD. Cela signifie que vous pouvez collecter légalement une donnée personnelle si vous êtes en mesure de la justifier par une de ces bases énoncées ci-après.
Le consentement
Ce principe était déjà inscrit dans la loi Informatique et Libertés, mais le RGPD est venu le renforcer. Le consentement, pour être légal, doit être : libre, spécifique, éclairé et univoque. Le recueil du consentement des personnes autorise le traitement de leurs données par les responsables de traitement mais le consentement ne doit pas obligatoirement être recueilli dans toutes les situations.
Dans les faits, le consentement est réservé à quelques cas de figure seulement.
Il existe cependant des traitements de données pour lesquels la demande de consentement est obligatoire. Le dépôt de cookies par un site internet, le recueil d’informations personnelles via un formulaire en ligne, les cessions de droit à l’image, les actions de prospections commerciales etc. sont autant de traitements de données pour lesquels le recueil du consentement est obligatoire.
L'exécution d'un contrat
Cela concerne les traitements mis en œuvre par des organismes privés dans le cadre d’une relation contractuelle avec les personnes concernées par les traitements de données. Cette base légale peut également concerner les organismes publics dès lors qu’aucune autre base ne semble plus appropriée que celle-ci.
Les conditions pour fonder un traitement sur cette base légale sont les suivantes :
Il existe une relation contractuelle ou pré-contractuelle entre le responsable de traitement et la personne concernée par les traitements de données.
Le contrat est valide au regard du droit applicable.
Par exemple, lorsque votre entreprise contractualise avec un client une prestation de services ou la livraison d’un produit, un contrat vous lit avec cette personne. Afin que vous puissiez honorer votre part du contrat, réaliser votre facturation, certaines données personnelles vous ont été communiquées notamment afin que la personne concernée obtienne ce pourquoi elle a contractualisé avec votre entreprise. Cette seule nécessité qu’est l’exécution d’un contrat suffit donc à justifier un traitement de données.
Le respect d'une obligation légale
C’est lorsque la loi vous l'impose, vous n’avez pas d’autres choix que de faire ce traitement de données personnelles. Cette obligation peut concerner aussi bien des entreprises privées que des organismes publics. Pour fonder un traitement de donnés sur cette base légale, il est nécessaire que ce traitement réponde à 4 conditions cumulatives selon la CNIL :
Cette obligation légale doit être définie dans le droit européen ou dans le droit national de l’État auquel le responsable du traitement est soumis.
Ces dispositions légales doivent instituer une obligation impérative de traiter des données personnelles, suffisamment claire et précise.
Ces dispositions doivent au moins définir les finalités du traitement concerné.
Cette obligation doit s’imposer au responsable du traitement, et non aux personnes concernées par le traitement. [1]
Par exemple, lorsque vous recrutez un nouveau salarié ou agent, vous êtes dans l’obligation de le déclarer auprès des services de sécurités sociales.
La protection des intérêts vitaux
Cette base légale est spécifique à certains cas de figures bien précis. Elle stipule qu'il est autorisé d’effectuer un traitement de données lorsqu’il nécessaire de protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.
Par exemple, un hôpital peut traiter les données médicales, consulter le dossier d'un patient afin de lui fournir des soins d'urgence.
Cette base légale est difficile d’application pour une société.
L'exécution d'une mission d'intérêt public ou l'exercice de l'autorité publique
Cette base légale concerne en premier lieu les organismes publics. Les organismes privés peuvent être concernés dès lors qu’ils poursuivent une mission d’intérêt public ou sont dotés de prérogatives de puissances publics.
Par exemple, des traitements de données concernant les usagers des transports publics réalisés à des fins de statistiques démographiques et dans l'objectif de rajouter des bus.
L'intérêt légitime
Cette base légale ne possède pas de définition à proprement parler, il n’y a pas non plus de liste exhaustive recensant les intérêts légitimes. L’intérêt légitime doit faire preuve de bon sens. Elle est envisagée pour les traitements de données, selon la CNIL, comme : « visant à garantir la sécurité du réseau et des informations, mis en œuvre à des fins de prévention de la fraude, nécessaires aux opérations de prospection commerciale auprès de clients d’une société, portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne. »
Une entreprise ou une organisation peut faire reposer son intérêt légitime si les trois conditions suivantes sont réunies : « L’intérêt est manifestement licite au regard du droit, il est déterminé de façon suffisamment claire et précise et il est réel et présent pour l’organisme concerné, il est non-fictif. ». Il faut bien faire attention avec cette base légale, il est interdit d'aller à l’encontre des droits et des intérêts des personnes dont les données sont traitées. Tout est potentiellement de l’intérêt légitime, il est essentiel de mettre en balance entre les droits et les intérêts en cause de la personne concernée et vos intérêts, ou du moins ceux de votre entreprise.
Pour citer un exemple d’intérêt légitime, nous pouvons par exemple faire référence à la collecte de données réalisée dans le cadre du développement de son activité commerciale. Lorsque vous n'êtes pas lié par un contrat avec un prospect, vous auriez un intérêt légitime à collecter son adresse email afin de le recontacter, de façon à opérer des actions de prospection.
Pour conclure
Parmi ces six bases, la protection des intérêt vitaux ou l’exécution d’une mission d’intérêt public (ou l’exercice de l’autorité public) ne sont applicables que dans des cas bien précis. Ils sont ainsi très rarement adaptés pour des traitements de données personnelles réalisés par des entreprises privées.
Ainsi, les 4 bases légales qui pourraient être utilisées par les entreprises pour justifier leurs traitements de données sont essentiellement : le consentement, l’exécution d’un contrat, le respect d’une obligation légale et l'intérêt légitime.
Il sera ainsi nécessaire de choisir sa base légale avec soin, mais surtout, il est essentielle de n’en choisir qu’une.
La base légale est le fondement juridique qui permet aux entreprises et aux organismes publics de collecter et de traiter des données personnelles.
L’article 6 offre ainsi des bases légales claires et explicites, protégeant les individus contre les potentiels abus et violations de leur vie privée. De cette façon, il n’est pas permis de récolter n’importe quelle donnée si ces traitements ne sont pas clairement justifiés par une base légale parmi celles citées précédemment.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Découvrez-en plus sur nos prestations de DPO externalisé en temps partagé !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !