Comprendre les bases légales du RGPD

Comprendre les bases légales du RGPD est essentiel pour assurer la conformité de votre start-up. 

On entend par base légale, le fondement juridique qui autorise un organisme à traiter une donnée personnelle. Concrètement, vous ne pouvez pas exploiter des données sans l’une des justifications données par le RGPD.

Vous découvrirez dans cet article :

• La définition des bases légales du RGPD
• Les explications de chaque base légale
• Comment choisir la bonne base légale pour votre entreprise

Pour bien comprendre les bases légales et choisir celle qui est la plus adaptée à votre entreprise, laissez-nous vous guider dans cet article.

‍

Définition des bases légales du RGPD

‍

Qu'est-ce qu'une base légale ?

Une base légale est un fondement juridique autorisant légalement la mise en œuvre d’un traitement. C’est ce qui vous donne le droit de collecter et d’utiliser des données personnelles. 

Les bases juridiques définies par le RGPD

Le RGPD énumère six bases légales, à savoir : 

• Le consentement ;
• Le contrat ;
• L’obligation légale ;
• La sauvegarde des intérêts vitaux ;
• La mission d’intérêt public ;
• Les intérêts légitimes.

‍

Les bases légales expliquées

‍

Consentement

Le consentement est toute manifestation de volonté, libre, spécifique, éclairée et univoque, par laquelle la personne concernée accepte que ses données à caractère personnel fassent l’objet d’un traitement. 

Cela implique le respect des droits et des garanties des individus concernés : 

• droit au retrait. La personne concernée peut donc retirer son consentement à tout moment dans les mêmes modalités utilisées pour recueillir son consentement. 
• preuve du consentement. Vous devez être capable de prouver que la personne a véritablement donné son consentement dans des conditions valides. 

Exécution d'un contrat

Le contrat peut constituer une base légale d’un traitement lorsqu’il respecte les trois conditions suivantes : 

• Existence d’une relation contractuelle ou précontractuelle entre l’organisme et la personne concernée ;
• Validité du contrat au regard du droit applicable ;
• Satisfaction du traitement à la condition de nécessité.

Dans le cas d’une exécution d’un contrat, cela signifie que le traitement doit uniquement permettre à l’organisme d’exécuter le contrat conclu avec la personne et ne doit donc pas viser un autre objectif. Par exemple, une personne qui effectue un achat en ligne donne son adresse mail. Elle ne pourra alors pas être utilisée pour recevoir des offres de partenaires commerciaux.

Obligation légale 

L’obligation légale, définie par le droit européen ou le droit national d’un Etat membre auquel l’entreprise est soumise, peut être l’un des fondements sur lequel le traitement de données repose. 

Ainsi, une entreprise peut traiter des données afin d’obéir à un cadre juridique qui lui est imposé à condition que : 

• l’obligation impérative de traiter des données personnelles soit claire et précise ;
• les finalités du traitement soient réellement définies ;
• l’obligation s’impose au responsable du traitement, et non aux personnes concernées par le traitement.

Intérêt légitime

Ici, l’entreprise doit trouver le juste équilibre entre : 

‍

• son propre intérêt ;
• les intérêts, libertés et droits fondamentaux des individus. 

‍

Cette évaluation comparative des droits et intérêts doit être effectuée pour chaque traitement qui se base sur l'intérêt légitime, en fonction des circonstances spécifiques de son application.

Pour être valable, il doit remplir trois conditions, à savoir : la légitimité de l’intérêt poursuivi par l’organisme, la satisfaction à la condition de nécessité et l’absence d’atteinte aux droits et intérêts des personnes concernées, compte tenu de leurs attentes raisonnables.

Par exemple, l’utilisation de la vidéosurveillance sur le lieu de travail peut être légitime si la préservation de la sécurité du personnel est en jeu.

Protection des intérêts vitaux

L’utilisation de la sauvegarde des intérêts vitaux comme base légale est limitée à certaines activités de traitement de données. 

Elle est généralement utilisée par les établissements de santé, notamment dans l’hypothèse où un hôpital doit traiter les données d’un patient qui nécessite des soins en urgence. 

Si le patient est inconscient, l’hôpital doit néanmoins traiter ses données sans son consentement, pour agir rapidement, dès lors que les intérêts vitaux du patient sont en jeu. 

Exécution d'une mission d'intérêt public

La mission d’intérêt public est une base légale qui concerne les traitements mis en œuvre par les autorités publiques et les organismes privés qui, soit poursuivent une mission d’intérêt public, soit sont dotés de prérogatives de puissance publique.

‍

‍

Comment choisir les bonnes bases légales ?

‍

Recommandations de la CNIL pour le choix des bases légales RGPD

Pour déterminer la base légale d’un traitement, le responsable de traitement doit tenir compte de la situation et du type de traitement, au cas par cas. Il faut notamment s’interroger sur les éléments suivants : 

L’exigence ou l’exclusion d’une base légale spécifique : dans ce cas, la détermination de la base légale est relativement simple ou automatique. Il suffit de savoir si les textes imposent une base légale, par exemple l’exigence du consentement dans le cas d’une prospection commerciale réalisée par voie électronique ou si les textes excluent une base légale, par exemple l’interdiction de fonder les traitements sur l’intérêt légitime pour le cas d’une autorité publique.

Le contexte général de mise en œuvre du traitement : pour cela, il faut déterminer votre type d’organisme, votre secteur d’activité, l’objectif principal poursuivi, le degré d’autonomie de votre organisme, le degré de maîtrise des personnes sur leurs propres données, l’existence ou non d’un cadre contractuel. L’entreprise doit toujours étudier si le traitement est en parfaite adéquation avec la base juridique choisie.

La réunion de toutes les conditions propres à la base légale envisagée : chaque base légale doit obéir à des conditions spécifiques. Si les conditions propres à la base légale ne sont pas remplies, vous devez modifier les paramètres du traitement de données ou bien rechercher une autre base légale.

Documentation des bases légales RGPD choisies

‍

Choisir la parfaite base légale est la première partie du travail. Il reste désormais à prouver votre choix. 

‍

En effet, la sélection de la base juridique nécessite une attention minutieuse de la part du responsable du traitement des données, car cette décision peut parfois être complexe. Documenter le choix effectué s'avère alors bénéfique pour illustrer le processus d'examen et la recherche de la base juridique la plus pertinente, en particulier lors d'une éventuelle vérification par la CNIL.

‍

Autre conseil qui peut aider votre DPO interne ou externe à construire une gouvernance RGPD digne de ce nom : consigner la sélection des bases légales dans le registre des activités de traitements renforçant ainsi son rôle en tant qu'outil de gestion et de preuve de conformité au RGPD. 

Votre avocat RGPD vous conseille sur les bases légales RGPD

Vous cherchez des conseils d'expert pour naviguer dans le labyrinthe du RGPD ? Votre avocat spécialisé en protection des données est là pour éclairer votre chemin : 

‍

• nous analysons minutieusement vos opérations pour identifier la base légale la plus adaptée à chaque traitement de données ;
• obtenez une stratégie personnalisée garantissant que vos pratiques sont en parfaite harmonie avec le RGPD ;

‍

• nous documentons chaque choix de base légale, vous offrant une armure solide face aux inspections de la CNIL.