Comprendre les bases légales du RGPD est essentiel pour assurer la conformité de votre start-up.
On entend par base légale, le fondement juridique qui autorise un organisme à traiter une donnée personnelle. Concrètement, vous ne pouvez pas exploiter des données sans l’une des justifications données par le RGPD.
Vous découvrirez dans cet article :
Pour bien comprendre les bases légales et choisir celle qui est la plus adaptée à votre entreprise, laissez-nous vous guider dans cet article.
Une base légale est un fondement juridique autorisant légalement la mise en œuvre d’un traitement. C’est ce qui vous donne le droit de collecter et d’utiliser des données personnelles.
Le RGPD énumère six bases légales, à savoir :
Le consentement est toute manifestation de volonté, libre, spécifique, éclairée et univoque, par laquelle la personne concernée accepte que ses données à caractère personnel fassent l’objet d’un traitement.
Cela implique le respect des droits et des garanties des individus concernés :
Le contrat peut constituer une base légale d’un traitement lorsqu’il respecte les trois conditions suivantes :
Dans le cas d’une exécution d’un contrat, cela signifie que le traitement doit uniquement permettre à l’organisme d’exécuter le contrat conclu avec la personne et ne doit donc pas viser un autre objectif. Par exemple, une personne qui effectue un achat en ligne donne son adresse mail. Elle ne pourra alors pas être utilisée pour recevoir des offres de partenaires commerciaux.
L’obligation légale, définie par le droit européen ou le droit national d’un Etat membre auquel l’entreprise est soumise, peut être l’un des fondements sur lequel le traitement de données repose.
Ainsi, une entreprise peut traiter des données afin d’obéir à un cadre juridique qui lui est imposé à condition que :
Ici, l’entreprise doit trouver le juste équilibre entre :
Cette évaluation comparative des droits et intérêts doit être effectuée pour chaque traitement qui se base sur l'intérêt légitime, en fonction des circonstances spécifiques de son application.
Pour être valable, il doit remplir trois conditions, à savoir : la légitimité de l’intérêt poursuivi par l’organisme, la satisfaction à la condition de nécessité et l’absence d’atteinte aux droits et intérêts des personnes concernées, compte tenu de leurs attentes raisonnables.
Par exemple, l’utilisation de la vidéosurveillance sur le lieu de travail peut être légitime si la préservation de la sécurité du personnel est en jeu.
L’utilisation de la sauvegarde des intérêts vitaux comme base légale est limitée à certaines activités de traitement de données.
Elle est généralement utilisée par les établissements de santé, notamment dans l’hypothèse où un hôpital doit traiter les données d’un patient qui nécessite des soins en urgence.
Si le patient est inconscient, l’hôpital doit néanmoins traiter ses données sans son consentement, pour agir rapidement, dès lors que les intérêts vitaux du patient sont en jeu.
La mission d’intérêt public est une base légale qui concerne les traitements mis en œuvre par les autorités publiques et les organismes privés qui, soit poursuivent une mission d’intérêt public, soit sont dotés de prérogatives de puissance publique.
Pour déterminer la base légale d’un traitement, le responsable de traitement doit tenir compte de la situation et du type de traitement, au cas par cas. Il faut notamment s’interroger sur les éléments suivants :
L’exigence ou l’exclusion d’une base légale spécifique : dans ce cas, la détermination de la base légale est relativement simple ou automatique. Il suffit de savoir si les textes imposent une base légale, par exemple l’exigence du consentement dans le cas d’une prospection commerciale réalisée par voie électronique ou si les textes excluent une base légale, par exemple l’interdiction de fonder les traitements sur l’intérêt légitime pour le cas d’une autorité publique.
Le contexte général de mise en œuvre du traitement : pour cela, il faut déterminer votre type d’organisme, votre secteur d’activité, l’objectif principal poursuivi, le degré d’autonomie de votre organisme, le degré de maîtrise des personnes sur leurs propres données, l’existence ou non d’un cadre contractuel. L’entreprise doit toujours étudier si le traitement est en parfaite adéquation avec la base juridique choisie.
La réunion de toutes les conditions propres à la base légale envisagée : chaque base légale doit obéir à des conditions spécifiques. Si les conditions propres à la base légale ne sont pas remplies, vous devez modifier les paramètres du traitement de données ou bien rechercher une autre base légale.
Choisir la parfaite base légale est la première partie du travail. Il reste désormais à prouver votre choix.
En effet, la sélection de la base juridique nécessite une attention minutieuse de la part du responsable du traitement des données, car cette décision peut parfois être complexe. Documenter le choix effectué s'avère alors bénéfique pour illustrer le processus d'examen et la recherche de la base juridique la plus pertinente, en particulier lors d'une éventuelle vérification par la CNIL.
Autre conseil qui peut aider votre DPO interne ou externe à construire une gouvernance RGPD digne de ce nom : consigner la sélection des bases légales dans le registre des activités de traitements renforçant ainsi son rôle en tant qu'outil de gestion et de preuve de conformité au RGPD.
Vous cherchez des conseils d'expert pour naviguer dans le labyrinthe du RGPD ? Votre avocat spécialisé en protection des données est là pour éclairer votre chemin :
Téléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.