Nous contacter.
02 52 35 24 54

Les bases légales d’un traitement des données

Publié le 10 juin 2022



Définition Base légale selon le RGPD

 

La base légale d’un traitement des données à caractère personnel est ce qui autorise légalement sa mise en œuvre. Il permet ainsi aux organisations de collecter et d’utiliser ces données.

En tant que responsable de traitement, l’entreprise doit s’interroger pour savoir sur quelle base légale repose son traitement afin de rendre celui-ci légal.

Un traitement des données sans base légale n’est pas licite.



Bases légales : combien sont-elles ? Quelles sont-elles ?

Les bases légales d’un traitement des données

Les bases légales prévues par le RGPD sont au nombre de 6.

Il s’agit :

  • du recueil de consentement ;
  • du contrat ;
  • de l’obligation légale ;
  • de la sauvegarde des intérêts vitaux ;
  • de l’intérêt public ;
  • des intérêts légitimes.

 

Elles concernent les organismes privés au même titre que les organismes publics.





Quelles sont les bases légales autorisant le traitement de données personnelles ?

Le recueil de consentement

Le recueil de consentement a pour objectif de renforcer le contrôle des données des individus en leur permettant :

  • de comprendre pourquoi et comment sera effectuer le traitement de leurs données
  • de pouvoir facile choisir d’accepter ou de refuser le traitement, sans contrainte
  • de pouvoir se rétracter sur leur choix à tout moment et facilement

 

Le recueil doit se faire selon différentes modalités pour en assurer sa validité.

L’exécution d’un contrat

Ce type de base légale s’applique dans le cadre d’un traitement nécessaire à l’application d’un contrat entre le responsable du traitement et une personne concernée.

Le recours au contrat comme base légale de traitement est soumis à 3 conditions :

  • Il doit exister une relation (pré) contractuelle entre l’organisme et la personne concernée ;
  • Le contrat doit être valide au regard du droit applicable ;
  • Le contrat ne peut être retenu que si le traitement est réellement nécessaire.

 

L’obligation légale

L’obligation légale devient un base légale valide dès lors que son exécution est rendue obligatoire par le cadre juridique auquel le traitement est soumis. Exemple : droit du travail.

Elle doit répondre à 4 conditions pour que le traitement de données soit licite. Elle doit :

  • être définie par le droit européen ou national de l’état membre de l’UE auquel le responsable de traitement est soumis ;
  • instituer une obligation impérative de traiter des données personnelles, suffisamment claire et précise ;
  • définir explicitement les finalités du traitement concerné ;
  • être imposée au responsable de traitement et non aux personnes concernées.

 

Et comme l’ensemble des bases légales, l’obligation légale ne doit être appliquée que si le traitement est véritablement nécessaire.

La sauvegarde des intérêts vitaux

Justifier la sauvegarde des intérêts vitaux comme base légale pour traiter des données nécessite de légitimer que l’intérêt vital essentiel à la vie de la personne concernée est en jeu.

Exemple : personne victime d’un accident, inconsciente, qui n’est pas en état de donner son consentement.

A l’inverse, le traitement des données en vue d’une intervention médicale planifiée ne fait pas partie de ce champ d’application.

La mission d’intérêt public

Cette base légale est principalement réservée aux autorités publiques, mais peut également concerner les organismes privés dans le cadre d’une mission d’intérêt publique.

Exemple : Une mairie qui traite des données à caractère personnel de ses citoyens.

L’intérêt légitime

Il peut être considéré que l’entreprise ou l’organisation privée agit sous l’intérêt légitime lorsque le traitement des données à caractère personnel se fait afin :

  • de prévenir d’une fraude, d’une arnaque ;
  • de garantir la sécurité du réseau ou du SI (Système Informatique) ;
  • de prospecter commercialement ;
  • de gestion administrative interne.

 

Attention toutefois, les 4 conditions suivantes devront être remplie pour que le caractère légitime soit apprécié :

  • L’intérêt légitime doit être licite ;
  • Il doit être annoncé de manière claire et précise ;
  • Il doit être réel et non fictif,
  • Il ne doit pas pénaliser la personne qui transmet ses données à caractère personnel

 

Besoin de conseils pour déterminer la base légale adaptée à votre traitement des données ? D’être accompagné pour votre mise / maintien en conformité RGPD ? Contactez AP3r Consulting, consultant RGPD à Angers, Nantes et dans tout le Grand Ouest.