En bref
Tout traitement de données personnelles doit reposer sur l'une des six bases légales de l'article 6 du RGPD. Le choix conditionne les droits des personnes concernées et expose à des sanctions pouvant atteindre 20 millions d'euros.
Principe de licéité et cadre normatif applicable
Art. 5, § 1, a) RGPD
« Le traitement de données à caractère personnel doit être licite, loyal et transparent au regard de la personne concernée. Ce principe constitue le socle sur lequel reposent l'ensemble des obligations de licéité du responsable de traitement. »
Source : Règlement (UE) 2016/679 — RGPD
Les six fondements juridiques de l'article 6 du RGPD
Art. 6, § 1 RGPD
« Le traitement n'est licite que si la personne a consenti, si le traitement est nécessaire à l'exécution d'un contrat, au respect d'une obligation légale, à la sauvegarde d'intérêts vitaux, à l'exécution d'une mission d'intérêt public ou aux intérêts légitimes poursuivis par le responsable du traitement. »
Source : Règlement (UE) 2016/679 — RGPD
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Le consentement : exigences renforcées et jurisprudence européenne
Art. 7 RGPD
« Le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement. Le consentement peut être retiré à tout moment, et le retrait est aussi simple que l'expression du consentement. »
Source : Règlement (UE) 2016/679 — RGPD
CJUE, 1er octobre 2019, Planet49, C-673/17
« La Cour juge qu'une case cochée par défaut ne satisfait pas à l'exigence d'un consentement actif et univoque. Seul un comportement positif clair de l'utilisateur caractérise un consentement valide au sens du RGPD. »
Source : Cour de justice de l'Union européenne — InfoCuria
La case pré-cochée invalide l'intégralité du consentement
Un formulaire dont les cases de consentement sont pré-cochées par défaut est nul. Le consentement doit résulter d'un acte positif clair de la personne, sous peine d'illicéité intégrale du traitement fondé sur cette base.
L'intérêt légitime : balance des droits et limites d'application
L'intérêt légitime est exclu pour les autorités publiques
Les organismes publics ne peuvent pas invoquer l'intérêt légitime pour les traitements relevant de leurs missions. Ils doivent impérativement recourir à l'obligation légale ou à la mission d'intérêt public, sous peine d'illicéité du traitement.
Formalisez votre analyse de mise en balance (LIA)
Rédigez un document écrit retraçant les trois étapes du test de proportionnalité : identification de l'intérêt, nécessité du traitement, balance des droits. Actualisez-le régulièrement et conservez-le dans votre documentation de conformité.
Exécution contractuelle, obligation légale et fondements résiduels
Ne confondez pas nécessité contractuelle et convenance commerciale
Le profilage publicitaire ou l'analyse comportementale ne sont pas couverts par la base contractuelle, même si le client a signé un contrat. Seuls les traitements objectivement nécessaires à la fourniture du service sont admis sur ce fondement.
Sanctions et exigences documentaires de l'accountability
Art. 83, § 5 RGPD
« Les violations des dispositions relatives aux principes de base du traitement, y compris les conditions de licéité, sont passibles d'amendes administratives pouvant atteindre 20 000 000 d'euros ou 4 % du chiffre d'affaires annuel mondial total. »
Source : Règlement (UE) 2016/679 — RGPD
Sanction CNIL pour défaut de base légale
Amende record infligée à Google LLC pour consentement invalide en matière de personnalisation publicitaire, première sanction majeure fondée sur le RGPD en France.
Source : CNIL, délibération SAN-2019-001, 21 janvier 2019
Documentez la base légale dans votre registre des traitements
Inscrivez la base légale de chaque traitement dans le registre de l'article 30. Conservez les preuves de consentement et les analyses d'intérêt légitime dans un dossier de conformité actualisé, accessible en cas de contrôle de la CNIL.
Questions fréquentes
Peut-on modifier la base légale d'un traitement déjà en cours ?
En principe, non. Le Comité européen de la protection des données considère que la base légale doit être déterminée avant le début du traitement et ne peut être modifiée a posteriori. Un changement serait contraire au principe de loyauté et modifierait rétroactivement les droits des personnes concernées, ce qui est prohibé sauf circonstances exceptionnelles documentées.
Quelle base légale retenir pour la prospection commerciale par courriel ?
Pour la prospection auprès de prospects non-clients, le consentement préalable est requis en application de l'article L34-5 du Code des postes et des communications électroniques. Pour les clients existants, l'intérêt légitime peut être invoqué si la prospection porte sur des produits ou services analogues à ceux déjà achetés, sous réserve d'un droit d'opposition effectif et facilement accessible.
Le consentement au sens du RGPD doit-il être recueilli par écrit ?
Aucune forme écrite n'est imposée par le règlement. Toutefois, l'article 7 oblige le responsable à démontrer que le consentement a été donné, rendant la traçabilité indispensable. En pratique, un mécanisme d'opt-in enregistré avec horodatage et journalisation technique constitue la preuve la plus fiable et la plus couramment admise par la CNIL.
L'intérêt légitime peut-il fonder un traitement de données sensibles ?
Non. Les données sensibles visées à l'article 9 du RGPD — origine ethnique, opinions politiques, données de santé, données biométriques — ne peuvent être traitées que sur le fondement de l'une des exceptions limitatives de l'article 9, paragraphe 2. L'intérêt légitime de l'article 6 ne constitue pas un fondement suffisant pour ces catégories particulières de données.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Bayonne
- Procédure à Bourges
- Procédure à Lorient
- Procédure à Saint Denis 93
- Procédure à Calais
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours