En une phrase. L’article 6 RGPD énonce les six bases légales qui autorisent le traitement de données personnelles : (a) consentement, (b) exécution d’un contrat, © obligation légale, (d) intérêts vitaux, (e) mission de service public, (f) intérêts légitimes. Au moins une doit s’appliquer pour qu’un traitement soit licite. La sélection et la documentation de la bonne base légale est la première question de conformité dans chaque fiche du registre des traitements.
Tout traitement de données personnelles doit reposer sur une base légale (article 6 §1 RGPD). Choisir la mauvaise base est l’une des causes les plus fréquentes de sanctions CNIL — la CNIL a infligé 389 millions d’euros d’amendes entre 2021 et 2025 spécifiquement pour base illicite ou consentement invalide. Ce guide explique chacune des six bases, quand chacune s’applique, et comment documenter le choix de manière défendable.
Pour les approfondissements connexes : base juridique RGPD, exemples de formulations de consentement RGPD, intérêt légitime RGPD.
Points clés
- L’article 6 §1 énumère six bases légales exhaustives. Au moins une doit s’appliquer.
- Les bases ne sont pas interchangeables — le bon choix dépend du contexte réel du traitement, pas de la préférence commerciale.
- La même activité de traitement utilise une base légale. Changer en cours de traitement requiert une ré-autorisation.
- Pour les catégories particulières de données (santé, biométrie, etc.), l’article 9 ajoute une condition supplémentaire en plus de l’article 6.
- La base légale doit être identifiée avant le début du traitement et documentée dans le registre.
1. Texte de l’article 6 §1 — les six bases
L’article 6 §1 RGPD dispose :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : (a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; (b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ; © le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; (d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; (e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ; (f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. »
2. (a) Consentement
La base la plus connue, aussi l’une des plus fragiles. Le consentement doit être libre, spécifique, éclairé, univoque et retirable (article 4(11) + considérant 32).
Quand l’utiliser : emails marketing, cookies optionnels, fonctionnalités optionnelles, partage de données avec partenaires.
Quand NE PAS l’utiliser : relations d’emploi (déséquilibre de pouvoir invalide le consentement), traitement essentiel au service (utiliser le contrat), obligations légales.
3. (b) Exécution d’un contrat
Traitement nécessaire à l’exécution d’un contrat avec la personne concernée ou prise de mesures précontractuelles à sa demande.
Quand l’utiliser : expédition d’une commande, traitement d’un paiement, fourniture du service souscrit, support client.
Limite : seules les données strictement nécessaires au contrat qualifient. « Améliorer notre service » qualifie rarement seul — voir intérêt légitime.
4. © Obligation légale
Traitement requis par le droit de l’UE ou d’un État membre.
Quand l’utiliser : registres fiscaux (conservés 6-10 ans), contrôles LBA/KYC pour entités régulées, données employés requises par le droit de la sécurité sociale, décisions judiciaires.
Limite : une obligation contractuelle n’est pas une obligation légale. La loi doit exiger le traitement spécifique.
5. (d) Intérêts vitaux
Traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne.
Quand l’utiliser : urgences médicales (le patient inconscient aux urgences), aide humanitaire, personnes disparues.
Limite : rarement la bonne base pour le traitement de routine. Le CEPD a précisé qu’il s’agit de situations de mise en danger de la vie, pas de « besoins commerciaux importants ».
6. (e) Mission de service public
Traitement nécessaire à l’exécution d’une mission d’intérêt public ou sous autorité publique.
Quand l’utiliser : par les autorités publiques (administrations, hôpitaux publics, écoles publiques) pour leurs missions statutaires.
Limite : les entreprises privées ne peuvent généralement pas l’invoquer. Les entités quasi-publiques (missions de service public déléguées) peuvent.
7. (f) Intérêts légitimes
La base la plus flexible — et la plus contestée. Test en trois parties requis (le « test de mise en balance ») :
- Test de finalité : un intérêt légitime est-il poursuivi ?
- Test de nécessité : le traitement est-il nécessaire à l’atteinte de cet intérêt ?
- Test de mise en balance : l’intérêt du responsable l’emporte-t-il sur les droits et attentes raisonnables de la personne concernée ?
Quand l’utiliser : prévention de la fraude, surveillance de la sécurité IT, prospection B2B (dans certains pays UE), analytics basiques, administration interne.
Quand NE PAS l’utiliser : données de catégorie particulière (l’article 9 l’interdit comme base unique), traitement de données d’enfants sans précaution supplémentaire, lorsque le consentement serait plus approprié (emails marketing).
La CNIL et l’EDPB ont clarifié que invoquer l’intérêt légitime sans test de mise en balance documenté est en soi un manquement sanctionnable. Voir notre guide intérêt légitime.
8. Choisir la bonne base : matrice de décision
| Traitement | Base recommandée | Pourquoi |
|---|---|---|
| Inscription newsletter | Consentement (a) | Marketing, opt-in |
| Exécution de commande | Contrat (b) | Nécessaire à la livraison |
| Paie | Obligation légale © | Droit fiscal + sécurité sociale |
| LBA/KYC | Obligation légale © | Régulé par la loi |
| Urgence médicale | Intérêts vitaux (d) | Sauvetage |
| Inscription école publique | Mission de service public (e) | Mission statutaire |
| Détection de fraude | Intérêts légitimes (f) | Avec test de mise en balance |
| Candidature à un poste | Mesures précontractuelles (b) | À la demande du candidat |
| Publicité comportementale | Consentement (a) | Traitement à fort impact |
| Logs de sécurité IT | Intérêts légitimes (f) | Avec test de mise en balance |
9. Catégories particulières : article 6 + article 9
Le traitement de données de catégorie particulière (santé, biométrie, religion, opinions politiques, orientation sexuelle, etc.) requiert les deux :
- Une base légale au titre de l’article 6, ET
- Une condition supplémentaire au titre de l’article 9 §2 (par exemple, consentement explicite, droit du travail, intérêts vitaux, intérêt public important)
10. Exigences de documentation
La base légale doit être :
- Identifiée avant le début du traitement
- Documentée dans le registre des traitements (article 30)
- Communiquée à la personne concernée dans la politique de confidentialité (articles 13-14)
- Justifiée si contestée (surtout pour les intérêts légitimes — conserver l’analyse de mise en balance)
11. Changement de base légale
Le CEPD (Lignes directrices 2/2019) précise que changer de base légale après le début du traitement n’est généralement pas autorisé.
12. Sanctions pour base légale invalide
L’article 83(5)(a) RGPD rend le défaut d’identification d’une base légale valide passible d’amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Cas notables :
- Meta Platforms Ireland (DPC, janvier 2023) : 390M€ pour base légale invalide sur la publicité comportementale
- Google LLC (CNIL, 2019) : 50M€ pour consentement inadéquat sur la publicité personnalisée
- TIM SpA (Garante, 2020) : 27,8M€ pour traitement illicite de données marketing sans base valide
Pour l’outillage qui automatise la documentation de la base légale dans votre registre, voir Legiscope.
Conclusion
L’article 6 RGPD paraît court — six points — mais c’est le fondement de toute autre obligation de conformité. Choisissez la bonne base, documentez pourquoi, communiquez-la avec transparence, et restez-y. La plupart des grosses amendes RGPD remontent soit à un consentement invalide (base a) soit à des prétentions d’intérêt légitime non étayées (base f).
FAQ
Quelles sont les six bases légales au titre de l’article 6 RGPD ?
(a) Consentement, (b) Exécution d’un contrat, © Obligation légale, (d) Intérêts vitaux, (e) Mission de service public, (f) Intérêts légitimes. Au moins une doit s’appliquer pour qu’un traitement de données personnelles soit licite.
Puis-je m’appuyer sur plusieurs bases légales simultanément ?
Non. Chaque activité de traitement devrait reposer sur une base légale. Lister plusieurs bases dans la politique de confidentialité « au cas où » est considéré comme trompeur par l’EDPB.
Le consentement est-il toujours le choix le plus sûr ?
Non — et souvent le plus risqué. Le consentement doit être libre (exclut les contextes d’emploi), spécifique, éclairé, univoque et retirable. S’il est retiré, le traitement doit cesser et les données être supprimées.
Ai-je besoin d’une analyse d’intérêt légitime (LIA) ?
Si vous invoquez l’article 6(1)(f), oui. Le test en trois parties (finalité, nécessité, mise en balance) doit être documenté avant le début du traitement.
Quelle est la différence entre les articles 6 et 9 RGPD ?
L’article 6 couvre la base légale pour tout traitement de données personnelles. L’article 9 ajoute une deuxième condition pour le traitement des catégories particulières de données (santé, biométrie, religion, etc.). Les deux doivent être satisfaits pour traiter les catégories particulières.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial