La base légale d’un traitement est ce qui légitime légalement sa mise en œuvre, conférant ainsi à une organisation le droit de traiter des données personnelles. On peut également la désigner comme le “fondement juridique” ou la “base juridique” du traitement.

Les Bases Légales Prévues par le RGPD

Le RGPD autorise le traitement des données personnelles sur la base de six fondements légaux énumérés à l’article 6 :

1. Le consentement : lorsque la personne a donné son accord pour le traitement de ses données.
2. Le contrat : lorsque le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée.
3. L’obligation légale : lorsque le traitement est imposé par des textes de loi.
4. La mission d’intérêt public : lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public.
5. L’intérêt légitime : lorsque le traitement est nécessaire pour poursuivre des intérêts légitimes, tout en respectant les droits des personnes concernées.
6. La sauvegarde des intérêts vitaux : lorsque le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’un tiers.

Si un traitement vise plusieurs finalités, une base légale distincte doit être établie pour chacune. Il est cependant impossible de cumuler plusieurs bases légales pour une même finalité.

L’Importance de Déterminer la Base Légale

Il est essentiel de s’interroger sur la base légale des traitements de données pour plusieurs raisons :

1. Légalité : Tout traitement doit reposer sur une base légale pour être licite.
2. Conditions spécifiques : Chaque base légale comporte des conditions particulières.
3. Conséquences sur les droits des individus : Les différentes bases légales n’impactent pas les droits des individus de la même manière.

Méthodes pour Déterminer la Base Légale

Il n’existe pas de hiérarchie entre les bases légales selon le RGPD. Le choix de la base légale appropriée doit être adapté à la situation et au type de traitement.

Critères à Considérer

Pour orienter cette réflexion, le responsable du traitement peut se poser les questions suivantes :

• Les textes imposent-ils ou excluent-ils une base légale spécifique ?
• Quel est le contexte général du traitement ?
• Les conditions propres à la base légale envisagée sont-elles remplies ?

Mention de la Base Légale

Les bases légales du traitement doivent être mentionnées dans les informations fournies aux personnes concernées.

Bonnes Pratiques

Il est recommandé de documenter le choix de la base légale afin de démontrer la démarche d’interrogation et de recherche de la base la plus appropriée. Mentionner les bases légales dans le registre renforce la conformité au RGPD et facilite l’élaboration des mentions d’information pour les personnes concernées.

Focus sur le Traitement des Données Sensibles

Le RGPD restreint le traitement des données sensibles, mais prévoit des exceptions. Ces exceptions ne constituent pas la base légale du traitement, mais permettent de déroger au principe d’interdiction du traitement de ces données.

Choix de la base légale : les lignes directrices et exemples

Le choix de la base légale est une étape déterminante, précédant toute mise en œuvre de traitement des données.

Cette décision peut s’avérer délicate, car même si plusieurs bases légales peuvent sembler appropriées pour une même finalité, une seule doit être retenue, celle la plus adaptée au cas d’espèce.

Pour accompagner les organismes dans cette démarche, la CNIL propose des ressources explicatives sur son site internet.

Illustration à travers les Traitements Effectifs

Pour faciliter la détermination des bases légales, la CNIL offre des exemples concrets de traitements de données qu’elle met elle-même en œuvre. Ces exemples visent à aider les organismes, notamment les autorités publiques, à choisir les bases légales appropriées pour leurs propres traitements.

Principes Guidant le Choix de la Base Légale

Mission d’Intérêt Public

La CNIL fonde la plupart de ses traitements sur la base légale de la mission d’intérêt public, étant donné que ses activités s’inscrivent dans le cadre de missions et prérogatives définies par le RGPD et le droit national.

• Exemples : Gestion des plaintes et réclamations, des demandes d’exercice des droits des personnes, des saisines et demandes de conseil des professionnels, ainsi que des notifications de violation de données.

Obligation Légale

Certains traitements sont imposés par différentes lois applicables dans le cadre de l’activité de la CNIL, même s’ils ne sont pas directement nécessaires à l’exercice de ses missions d’intérêt public.

• Exemples : Gestion administrative des personnels, sécurité des systèmes d’information, gestion des demandes adressées au délégué à la protection des données.

Intérêt Légitime

Pour certains traitements internes ou non spécifiquement liés aux missions d’intérêt public de la CNIL, mais utiles à son fonctionnement, la base légale de l’intérêt légitime peut être retenue, sous réserve de respecter les exigences du RGPD.

• Exemples : Traitements de gestion documentaire, de gestion des ressources et moyens numériques, contrôle d’accès des personnels et visiteurs.

Autres Bases Légales

En fonction des circonstances spécifiques, d’autres bases légales comme le contrat ou le consentement peuvent être mobilisées, bien que la CNIL n’en fasse qu’un usage marginal.

• Exemples : Traitement de recrutement de personnels basé sur l’exécution du contrat, recueil du consentement pour certaines communications ou actions spécifiques.

La CNIL n’utilise pas la base légale du consentement pour ses traitements, privilégiant généralement la mission d’intérêt public. Cette approche vise à garantir un équilibre entre les intérêts des personnes concernées et ceux de l’autorité publique.

Bases légales : les Textes applicables

Les Articles 6 et 9 du RGPD.