Choisir la mauvaise base légale pour un traitement de données personnelles est l’une des erreurs les plus coûteuses en matière de conformité RGPD. La CNIL a sanctionné Criteo de 40 millions d’euros en juin 2023 (Délibération n°SAN-2023-009) en grande partie pour avoir invoqué le consentement sans en remplir les conditions. Ce guide fournit un arbre de décision pratique pour sélectionner les bases légales RGPD appropriées parmi les six fondements de l’Art. 6.
Points Clés
- L’Art. 6(1) RGPD prévoit six bases légales exclusives : aucun traitement ne peut être licite sans reposer sur l’une d’entre elles.
- Le choix de la base légale doit être fait avant le début du traitement et documenté dans le registre (Art. 30 RGPD).
- Une base légale ne peut pas être changée rétroactivement : si le consentement est retiré, le responsable de traitement ne peut pas basculer sur l’intérêt légitime.
- Le consentement et l’intérêt légitime sont les deux bases les plus utilisées — et les plus mal appliquées.
- Le CEPD (Lignes directrices 2/2019) insiste sur le fait que le choix doit être réfléchi et non mécanique.
Les six bases légales de l’Art. 6(1) RGPD
L’Art. 6(1) RGPD établit une liste exhaustive de fondements pour la licéité d’un traitement. Chaque base a ses conditions spécifiques et ses limites.
a) Le consentement
La personne concernée a donné son consentement pour une ou plusieurs finalités spécifiques. Le consentement doit être libre, spécifique, éclairé et univoque (Art. 4(11) RGPD). Il est la seule option lorsque aucune autre base ne s’applique et que le traitement n’est pas indispensable.
b) L’exécution d’un contrat
Le traitement est nécessaire à l’exécution d’un contrat auquel la personne est partie, ou à l’exécution de mesures précontractuelles prises à sa demande. C’est la base naturelle pour la gestion de la relation client, la livraison d’un service, ou le traitement de la paie des salariés.
c) L’obligation légale
Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis. Exemples : obligations fiscales, déclarations sociales, lutte anti-blanchiment. L’obligation doit être prévue par le droit de l’Union ou d’un État membre.
d) La sauvegarde des intérêts vitaux
Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. Cette base est réservée aux situations d’urgence médicale où la personne n’est pas en mesure de consentir. Son usage est exceptionnel.
e) La mission d’intérêt public
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Principalement applicable aux administrations, collectivités et organismes investis d’une mission de service public.
f) L’intérêt légitime
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement, sauf lorsque prévalent les intérêts ou droits fondamentaux de la personne. Cette base exige un triple test de mise en balance systématique.
Arbre de décision : comment choisir la bonne base légale
Le choix suit une logique d’élimination progressive :
1. Existe-t-il une obligation légale ? Si le traitement est imposé par la loi (déclaration fiscale, conservation de factures, obligation KYC), la base est l’Art. 6(1)©. Pas de choix à faire.
2. Le traitement est-il nécessaire à l’exécution d’un contrat ? Si oui, et que la personne est partie au contrat, la base est l’Art. 6(1)(b). Attention : cette base ne couvre que ce qui est objectivement nécessaire à l’exécution, pas tout ce qui est simplement utile au responsable de traitement.
3. S’agit-il d’une mission de service public ? Si l’organisme est une autorité publique ou exerce une mission d’intérêt public définie par la loi, la base est l’Art. 6(1)(e).
4. L’intérêt légitime est-il applicable ? Si le responsable de traitement poursuit un intérêt légitime, que le traitement est nécessaire et que les droits des personnes ne prévalent pas, l’Art. 6(1)(f) est utilisable. Le triple test doit être documenté.
5. Le consentement est-il la seule option restante ? Si aucune autre base ne s’applique, le consentement (Art. 6(1)(a)) doit être recueilli dans les conditions strictes du RGPD.
6. Situation d’urgence vitale ? L’Art. 6(1)(d) est réservé aux cas extrêmes où la vie d’une personne est en jeu.
Tableau comparatif des bases légales
| Base légale | Cas d’usage typique | Avantage principal | Risque principal |
|---|---|---|---|
| Consentement | Cookies, newsletter, prospection B2C | Transparence maximale | Peut être retiré à tout moment |
| Contrat | Gestion client, livraison, paie | Pas de consentement requis | Limité au strictement nécessaire |
| Obligation légale | Fiscal, social, AML/KYC | Pas d’opposition possible | Doit viser une obligation précise |
| Intérêts vitaux | Urgence médicale | Applicable sans consentement | Usage exceptionnel uniquement |
| Mission publique | Administration, service public | Fondement solide pour le secteur public | Non applicable au secteur privé classique |
| Intérêt légitime | Sécurité, prospection B2B, fraude | Flexible | Exige un triple test documenté |
Erreurs courantes dans le choix de la base légale
Invoquer le consentement par défaut
Beaucoup d’organismes utilisent le consentement comme base par défaut pour tous leurs traitements. C’est une erreur. Le consentement implique que la personne peut le retirer à tout moment (Art. 7(3) RGPD), ce qui oblige à cesser le traitement. Si une autre base est plus adaptée, elle doit être privilégiée.
Confondre « contrat » et « utile au business »
L’Art. 6(1)(b) couvre uniquement ce qui est objectivement nécessaire à l’exécution du contrat. Envoyer des publicités ciblées n’est pas nécessaire à la livraison d’une commande. Le CEPD (Lignes directrices 2/2019) a explicitement rejeté cette interprétation extensive.
Changer de base légale après coup
La CNIL et le CEPD considèrent qu’un responsable de traitement ne peut pas changer de base légale pour un traitement existant. Si le consentement est retiré, basculer sur l’intérêt légitime serait contraire au principe de loyauté (Art. 5(1)(a) RGPD).
Omettre la documentation
Le registre des traitements doit mentionner la base légale pour chaque traitement (Art. 30(1)© RGPD). L’absence de documentation est en soi un manquement, indépendamment du caractère approprié du choix.
Consentement vs intérêt légitime : le choix critique
La majorité des hésitations porte sur le choix entre consentement et intérêt légitime. Voici les critères de distinction :
Choisissez le consentement quand :
- Le traitement n’est pas indispensable à l’activité (cookies analytiques, newsletter)
- Les personnes s’attendent à avoir le choix
- Le traitement porte sur des données sensibles (Art. 9 RGPD)
- La réglementation sectorielle l’impose (prospection B2C par email, Art. L.34-5 CPCE)
Choisissez l’intérêt légitime quand :
- Le traitement est courant et attendu (sécurité réseau, prévention fraude)
- Le recueil du consentement est disproportionné au regard du risque
- Le traitement bénéficie aussi aux personnes concernées (sécurisation de leur compte)
- Le triple test confirme que les droits des personnes ne prévalent pas
La CNIL a confirmé cette approche dans ses recommandations relatives à la mise en conformité RGPD : le consentement n’est pas toujours la base la plus protectrice.
Legiscope intègre un assistant de sélection de base légale qui guide le responsable de traitement à travers l’arbre de décision et génère automatiquement la documentation associée pour le registre des traitements.
FAQ
Peut-on utiliser plusieurs bases légales pour un même traitement ?
Non. Chaque traitement doit reposer sur une seule base légale, identifiée avant le début du traitement. En revanche, un même ensemble de données peut faire l’objet de traitements distincts reposant chacun sur une base différente. Par exemple, la gestion d’un contrat client (Art. 6(1)(b)) et l’envoi de newsletter (Art. 6(1)(a)) sont deux traitements distincts.
L’intérêt légitime est-il applicable aux autorités publiques ?
L’Art. 6(1) RGPD précise que l’intérêt légitime ne s’applique pas aux traitements effectués par les autorités publiques dans l’exécution de leurs missions. Ces organismes doivent recourir à l’Art. 6(1)(e) (mission d’intérêt public) ou à une autre base appropriée.
Que faire si le consentement est retiré ?
Le responsable de traitement doit cesser le traitement fondé sur le consentement sans délai injustifié. L’Art. 7(3) RGPD précise que le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. En revanche, il est interdit de basculer rétroactivement sur une autre base légale.
Comment documenter le choix de la base légale ?
Le choix doit figurer dans le registre des traitements (Art. 30 RGPD), dans la mention d’information délivrée aux personnes (Art. 13(1)© RGPD), et dans l’AIPD lorsqu’elle est requise. Pour l’intérêt légitime, le triple test doit être formalisé dans un document séparé conservé comme preuve de conformité.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial