Bases légales du traitement : quand pouvez-vous utiliser des données personnelles
Sous le RGPD, chaque activité de traitement nécessite une base légale valide. Comprendre les six bases légales disponibles et quand chacune s'applique aide les organisations à construire des opérations conformes dès le départ.
Points clés
| Point | Résumé |
|---|---|
| 6 bases légales | Consentement, Contrat, Obligation légale, Intérêts vitaux, Mission d'intérêt public, Intérêts légitimes |
| Les plus courantes pour les startups | Contrat (fourniture de service), Intérêts légitimes (opérations business), Consentement (marketing) |
| Exigences du consentement | Libre, spécifique, éclairé, univoque, facile à retirer |
| Intérêts légitimes | Nécessite un test de mise en balance (votre intérêt vs droits de l'individu) |
| Documenter avant de traiter | Vous devez identifier la base légale avant de collecter les données, pas après |
Réponse rapide : Vous avez besoin d'une des 6 bases légales pour traiter des données personnelles. La plupart des startups utilisent : Contrat (service principal), Intérêts légitimes (opérations business), et Consentement (marketing). Documentez votre base légale avant tout traitement.
Les six bases légales
Le RGPD fournit exactement six bases légales pour le traitement des données personnelles. Vous devez en identifier et documenter au moins une avant tout traitement.
- Consentement. L'individu accepte un traitement spécifique
- Contrat. Le traitement est nécessaire pour exécuter un accord
- Obligation légale. Requis par la loi
- Intérêts vitaux. Protéger la vie de quelqu'un
- Mission d'intérêt public. Fonctions gouvernementales officielles
- Intérêts légitimes. Besoin business équilibré avec les droits des utilisateurs
Base légale 1 : Consentement
Le consentement est la base la plus connue mais a des exigences strictes.
Exigences pour un consentement valide
| Exigence | Signification |
|---|---|
| Libre | Pas de pression, pas de couplage avec des services |
| Spécifique | Consentement séparé pour différentes finalités |
| Éclairé | Explication claire de ce à quoi ils acceptent |
| Univoque | Action affirmative claire (pas de cases pré-cochées) |
| Révocable | Facile à retirer à tout moment |
Quand utiliser le consentement
Bons cas d'usage :
- Emails marketing et newsletters
- Cookies et tracking optionnels
- Partage de données avec des tiers
- Traitement de données de catégories particulières
- Utilisation des données pour de nouvelles finalités incompatibles
Mauvais cas d'usage :
- Fonctionnalité essentielle du service (utiliser Contrat à la place)
- Quand il y a un déséquilibre de pouvoir (employeur/employé)
- Quand les utilisateurs n'ont pas de vrai choix
Mise en œuvre du consentement
Collecte :
- Explication claire de la finalité du traitement
- Cases à cocher séparées pour différentes finalités
- Pas de cases pré-cochées
- Lien vers la politique de confidentialité complète
- Enregistrer l'horodatage et le libellé exact
Stockage :
- Logger l'horodatage du consentement
- Enregistrer la version du texte de consentement
- Documenter comment le consentement a été obtenu
- Lier à l'identifiant utilisateur
Retrait :
- Option de retrait facile à trouver
- Aussi facile à retirer qu'à donner
- Traiter le retrait rapidement
- Arrêter le traitement après le retrait
Base légale 2 : Contrat
Utilisez cette base quand le traitement est nécessaire pour exécuter un contrat avec l'individu.
Quand le Contrat s'applique
| Activité de traitement | Base Contrat valide ? |
|---|---|
| Traitement de commande et adresse de livraison | Oui |
| Envoi de confirmation d'achat | Oui |
| Fourniture du service souscrit | Oui |
| Création de compte pour accès au service | Oui |
| Marketing vers clients existants | Non (voir ePrivacy "soft opt-in" ci-dessous) |
| Partage avec des annonceurs tiers | Non (utiliser consentement) |
Exigences clés
- Le contrat doit exister ou être sur le point d'être conclu
- Le traitement doit être objectivement nécessaire pour le contrat
- Ne peut pas être utilisé pour justifier un traitement que vous voulez simplement faire
- Documenter le lien entre le traitement et le contrat
Mesures pré-contractuelles
Vous pouvez aussi traiter des données pour des mesures à la demande de l'individu avant la conclusion d'un contrat :
- Demandes de devis
- Demandes de renseignements sur les services
- Configuration de compte d'essai
- Traitement de candidatures
Base légale 3 : Obligation légale
À utiliser quand le traitement est requis pour se conformer à la loi.
Obligations légales courantes
| Obligation | Traitement requis |
|---|---|
| Lois fiscales | Conservation des registres financiers |
| Droit du travail | Dossiers des employés |
| Anti-blanchiment | Vérification d'identité |
| Santé et sécurité | Registres d'incidents |
| Décisions de justice | Informations divulguées |
Exigences
- Doit être une exigence légale spécifique (pas juste une "bonne pratique")
- Documenter la loi spécifique exigeant le traitement
- Traiter uniquement ce que la loi exige
- Loi de l'UE ou d'un État membre (pas les lois étrangères)
Base légale 4 : Intérêts vitaux
À utiliser uniquement quand le traitement est nécessaire pour protéger la vie de quelqu'un.
Quand les Intérêts vitaux s'appliquent
C'est une base d'urgence pour des situations véritablement vitales :
- Urgences médicales
- Crises humanitaires
- Situations mettant la vie en danger
Rarement applicable pour les startups sauf si vous opérez dans les secteurs de la santé, des services d'urgence ou similaires.
Limitations
- Ne peut pas être utilisé quand une autre base légale est disponible
- Pas pour la santé et le bien-être en général
- Doit être véritablement vital
- Documenter les circonstances d'urgence
Base légale 5 : Mission d'intérêt public
À utiliser quand le traitement est nécessaire pour des fonctions gouvernementales officielles.
Applicabilité
Cette base est principalement pour :
- Les organismes gouvernementaux
- Les organisations exerçant une autorité officielle
- Les missions d'intérêt public définies par la loi
Rarement applicable pour les startups privées sauf si vous êtes mandaté pour exercer des fonctions publiques.
Base légale 6 : Intérêts légitimes
La base la plus flexible, mais nécessite une mise en balance soigneuse.
Le test légal (Article 6(1)(f))
L'article 6(1)(f) permet le traitement lorsqu'il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, en particulier lorsque la personne concernée est un enfant.
C'est l'exigence légale réelle. Pour aider les organisations à mener cette évaluation de manière systématique, le Comité Européen de la Protection des Données (CEPD) et son prédécesseur (Groupe de travail Article 29) ont développé une méthodologie recommandée.
Le test en trois parties (Méthodologie CEPD/WP29)
Bien que ce ne soit pas une exigence légale, documenter une analyse d'intérêts légitimes (LIA) en utilisant ce framework en trois parties est une pratique recommandée et démontre la diligence :
Partie 1 : Test de finalité
- Quel est votre intérêt légitime ?
- Est-il licite et clairement articulé ?
- Est-ce un intérêt réel et actuel ?
Partie 2 : Test de nécessité
- Le traitement est-il réellement nécessaire pour cette finalité ?
- Y a-t-il une façon moins intrusive d'y parvenir ?
- Le traitement est-il proportionné ?
Partie 3 : Test de mise en balance
- Quel impact le traitement a-t-il sur les individus ?
- Les individus s'attendraient-ils à ce traitement ?
- Quelle est la nature des données (sensibles) ?
- Y a-t-il des individus vulnérables (enfants) ?
- Quelles garanties pouvez-vous mettre en place ?
- Les individus peuvent-ils s'opposer ou refuser ?
Intérêts légitimes courants
| Intérêt | Généralement valide | Considérations |
|---|---|---|
| Prévention de la fraude | Oui | Protection essentielle du business |
| Sécurité réseau | Oui | Protection des systèmes et utilisateurs |
| Marketing direct | Parfois | Fonctionne avec le "soft opt-in" ePrivacy pour clients existants ; nouveaux contacts nécessitent consentement |
| Analytics | Généralement | Agréger/anonymiser si possible |
| Transferts intra-groupe | Généralement | Documenter la nécessité business |
| Amélioration du service client | Généralement | Attente raisonnable |
| Actions en justice | Oui | Établir/défendre des réclamations |
Limitations des intérêts légitimes
Ne peut pas être utilisé pour :
- Traitement qui prévaut sur les droits individuels
- Données de catégories particulières (nécessite une base Article 9(2) séparée ; voir ci-dessous)
- Quand le consentement a été refusé
- Quand il y a un impact significatif sur les individus
Données de catégories particulières : Bases de l'Article 9(2)
Les données de catégories particulières (santé, biométriques, origine raciale/ethnique, opinions politiques, croyances religieuses, appartenance syndicale, données génétiques, vie sexuelle/orientation) ne peuvent pas être traitées sur la base des intérêts légitimes. L'article 9(2) fournit 10 bases spécifiques :
| Base | Quand elle s'applique |
|---|---|
| Consentement explicite | L'individu accepte explicitement le traitement spécifique |
| Droit du travail/sécurité sociale | Requis pour les obligations d'emploi ou de protection sociale |
| Intérêts vitaux | Protéger la vie quand l'individu ne peut pas consentir |
| Activités légitimes de fondations/associations | ASBL traitant les données de membres avec des garanties appropriées |
| Données manifestement publiques | L'individu a clairement rendu les données publiques lui-même |
| Actions en justice | Établir, exercer ou défendre des actions en justice |
| Intérêt public important | Traitement nécessaire pour des raisons d'intérêt public important |
| Finalités médicales/sanitaires | Soins de santé, médecine du travail, gestion du système de santé |
| Santé publique | Protection contre les menaces sanitaires transfrontalières, assurer la qualité des soins |
| Finalités d'archivage/recherche | Recherche scientifique, historique ou statistique avec des garanties |
Point clé : Le consentement explicite n'est qu'une option. Beaucoup d'organisations traitant des données de santé, par exemple, s'appuient sur la base des finalités médicales plutôt que sur le consentement.
Choisir la bonne base légale
Utilisez ce framework de décision :
Le traitement est-il requis par la loi ?
- Oui → Obligation légale
Y a-t-il un contrat nécessitant ce traitement ?
- Oui → Contrat
Voulez-vous demander la permission ?
- Oui → Consentement
Avez-vous un besoin business réel ?
- Oui → Considérer les Intérêts légitimes (compléter l'évaluation LIA, mettre en place des garanties, fournir un opt-out)
Est-ce une urgence vitale ?
- Oui → Intérêts vitaux
Êtes-vous une autorité publique ?
- Oui → Mission d'intérêt public
Documenter votre base légale
Pour chaque activité de traitement, documentez :
| Élément | Documentation requise |
|---|---|
| Activité de traitement | Description claire de ce que vous faites |
| Catégories de données | Types de données personnelles impliqués |
| Base légale | Laquelle des six bases s'applique |
| Justification | Pourquoi cette base est appropriée |
| Pour le Consentement | Comment obtenu, horodatage, version |
| Pour les Intérêts légitimes | Évaluation LIA complète |
| Pour l'Obligation légale | Référence à la loi spécifique |
Scénarios startup courants
| Scénario | Base légale recommandée |
|---|---|
| Création de compte utilisateur | Contrat |
| Fourniture de service | Contrat |
| Transactions d'achat | Contrat |
| Emails marketing (nouveaux utilisateurs) | Consentement |
| Marketing (clients existants) | "Soft opt-in" ePrivacy* + Intérêts légitimes |
| Analytics | Intérêts légitimes |
| Cookies essentiels | Intérêts légitimes/Contrat |
| Cookies marketing | Consentement |
| Prévention de la fraude | Intérêts légitimes |
| Partage avec des réseaux publicitaires | Consentement |
*L'exemption marketing pour clients existants dérive de l'article 13(2) de la directive ePrivacy, pas du RGPD seul. Elle permet le marketing sans consentement préalable uniquement quand : (1) les coordonnées ont été obtenues lors d'une vente, (2) le marketing concerne des produits/services similaires, et (3) un opt-out facile est fourni à chaque contact. Les mises en œuvre nationales varient ; vérifiez la loi locale. Voir aussi le considérant 47 du RGPD.
Comment Bastion peut vous aider
Sélectionner et documenter les bases légales nécessite une analyse soigneuse de vos activités de traitement spécifiques. Travailler avec des partenaires expérimentés aide à s'assurer que votre approche est défendable et bien documentée.
| Défi | Comment nous aidons |
|---|---|
| Sélection de base | Conseils experts sur le choix des bases appropriées pour vos cas d'usage |
| Documentation LIA | Templates et support pour les analyses d'intérêts légitimes |
| Gestion du consentement | Mise en œuvre de mécanismes de consentement conformes |
| Piste d'audit | Documentation rationalisée et collecte de preuves |
| Revue continue | Revues régulières pour s'assurer que les bases légales restent appropriées à mesure que votre business évolue |
Avoir une expertise supplémentaire aide à bien faire ces décisions fondamentales du premier coup, évitant le besoin de corrections coûteuses quand des problèmes surgissent lors d'audits ou d'enquêtes réglementaires.
Des questions sur la sélection de base légale pour vos activités de traitement ? Parlons-en →