Base légale : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

La base légale désigne, au sens du RGPD, le fondement juridique sur lequel repose la licéité d'un traitement de données personnelles.

La base légale désigne, au sens du RGPD, le fondement juridique sur lequel repose la licéité d'un traitement de données personnelles. L'article 6 paragraphe 1 du Règlement (UE) 2016/679 énumère limitativement six bases légales parmi lesquelles le responsable de traitement doit choisir, pour chaque traitement et pour chaque finalité poursuivie. La détermination de la base légale conditionne la légitimité globale du traitement et la portée des droits ouverts à la personne concernée.

L'enjeu pratique de la base légale est central. Un traitement reposant sur une base légale inadaptée ou inexistante encourt la qualification de traitement illicite, sanctionnable au titre de l'article 83 paragraphe 5 du RGPD (deuxième catégorie d'amendes administratives, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial). Cette qualification frappe le traitement dans son ensemble, indépendamment de la qualité des autres mesures mises en œuvre.

Le choix de la base légale doit être effectué avant le démarrage du traitement et documenté dans le registre des activités de traitement prévu à l'article 30. Toute personne concernée a le droit de connaître la base légale applicable au titre de l'obligation d'information (articles 13 et 14 du RGPD). Une base légale erronée ou non communiquée fragilise l'ensemble du dispositif RGPD.

Vous souhaitez sécuriser le choix de vos bases légales ? Le Cabinet Aurore Bonavia accompagne les organisations dans la qualification juridique de leurs traitements de données. → Voir l'accompagnement en droit du numérique

L'énumération limitative des six bases légales

L'article 6 paragraphe 1 du RGPD énumère limitativement les six bases légales possibles :

« Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ; d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ; e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ; f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

Cette énumération est exhaustive : aucune autre base légale n'est mobilisable pour un traitement de données personnelles, hors les hypothèses spécifiques applicables aux catégories particulières de données (article 9 du RGPD) et aux données pénales (article 10).

Le consentement

Le consentement constitue la base légale apparemment la plus simple, mais la plus exigeante en pratique. L'article 4 paragraphe 11 du RGPD le définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Quatre conditions cumulatives s'imposent au consentement :

  • libre : il ne doit pas y avoir de déséquilibre manifeste entre les parties ; le consentement obtenu sous condition de souscription à un service essentiel n'est pas libre ;
  • spécifique : il doit porter sur une ou plusieurs finalités déterminées, distinctes et énumérées ; un consentement global pour des finalités multiples non séparées est invalide ;
  • éclairé : la personne doit recevoir une information préalable suffisante sur la nature du traitement, les finalités, les données concernées et les conséquences ;
  • univoque : il doit résulter d'un acte positif clair (case à cocher non préalablement cochée, signature électronique, démarche affirmative) ; le silence, l'inaction ou les cases pré-cochées ne valent pas consentement.

L'EDPB a précisé dans ses Lignes directrices 5/2020 sur le consentement que le retrait du consentement doit être aussi simple que son recueil. La personne concernée peut retirer son consentement à tout moment, ce qui impose au responsable de mettre en place des mécanismes opérationnels de gestion du retrait.

L'exécution du contrat

La base contractuelle s'applique aux traitements nécessaires à l'exécution d'un contrat conclu avec la personne concernée. Le critère de nécessité s'apprécie strictement : seuls les traitements indispensables à l'exécution effective des obligations contractuelles peuvent y être rattachés. Les traitements accessoires ou facilitateurs doivent reposer sur une autre base légale.

L'EDPB a précisé dans ses Lignes directrices 2/2019 sur le traitement contractuel que la base contractuelle ne peut couvrir, à titre d'exemple :

  • l'enrichissement publicitaire des données collectées dans le cadre d'un service en ligne, qui dépasse l'exécution stricte du contrat ;
  • l'amélioration produit par profilage comportemental, qui sert l'intérêt du responsable mais n'exécute pas le contrat ;
  • la prospection commerciale sur des produits non souscrits, qui sert le développement commercial mais non l'exécution du contrat de souscription en cours.

Ces traitements doivent reposer sur une autre base légale (consentement, intérêts légitimes documentés). La pratique impose donc une analyse fine, finalité par finalité, du périmètre couvert par la base contractuelle.

L'obligation légale

La base de l'obligation légale s'applique aux traitements imposés par une norme juridique nationale ou européenne. Cette norme doit être claire et précise et doit imposer le traitement, et non se contenter de l'autoriser. Plusieurs hypothèses caractérisent classiquement cette base :

  • les obligations comptables et fiscales (conservation des factures pendant dix ans en application du Code de commerce) ;
  • les obligations de lutte contre le blanchiment des capitaux (LCB-FT) imposant aux institutions financières la collecte et la conservation de données d'identification ;
  • les obligations de déclaration sociale nominative (DSN) imposées aux employeurs ;
  • les obligations imposées par le Code du travail (registre du personnel, déclarations URSSAF, données de paie) ;
  • les obligations de conservation des données de connexion par les opérateurs de communications électroniques (sous réserve de l'arrêt CJUE La Quadrature du Net du 6 octobre 2020 qui a fortement restreint cette obligation).

L'obligation légale doit être identifiée précisément (article du code, décret d'application). Une simple recommandation administrative ou un usage professionnel ne suffisent pas à constituer une obligation légale au sens du RGPD.

Les intérêts légitimes

La base des intérêts légitimes constitue la plus flexible, mais aussi la plus contestable. Elle suppose un test de mise en balance entre les intérêts légitimes du responsable de traitement et les droits et libertés fondamentaux de la personne concernée. Trois conditions cumulatives doivent être documentées :

  • l'identification d'un intérêt légitime poursuivi par le responsable ou un tiers (sécurité informatique, prévention des fraudes, prospection sur des clients existants, gestion des relations commerciales) ;
  • la nécessité du traitement pour atteindre cet intérêt, c'est-à-dire l'absence de moyens moins intrusifs permettant le même résultat ;
  • la mise en balance des intérêts, qui doit conclure que les intérêts du responsable ne sont pas écartés par les droits et libertés des personnes concernées.

L'EDPB et la CNIL exigent que cette analyse soit documentée par écrit et qu'elle puisse être communiquée aux personnes concernées qui en feraient la demande. Le test de mise en balance doit être proportionné aux risques du traitement et tenir compte du caractère vulnérable des personnes concernées (mineurs, personnes en situation de précarité).

L'arrêt CJUE Fashion ID du 29 juillet 2019 (C-40/17) a précisé que la base des intérêts légitimes ne s'applique pas aux autorités publiques dans l'exécution de leurs missions, qui doivent recourir à la base de la mission d'intérêt public ou de l'autorité publique.

Spécificité juridique sur le changement de base légale

Le RGPD interdit en principe de changer de base légale en cours de traitement, sauf à informer préalablement les personnes concernées et à respecter les conditions d'application de la nouvelle base. Cette interdiction protège la cohérence du dispositif d'information dispensé aux personnes concernées et évite les contournements consistant à passer du consentement aux intérêts légitimes lorsque le premier devient difficile à recueillir.

L'EDPB a précisé dans ses Lignes directrices 5/2020 que la base légale doit être stable et que le changement ne peut intervenir qu'à l'occasion de modifications substantielles du traitement (nouvelle finalité, nouvelles catégories de données, nouveaux destinataires). Le responsable qui souhaiterait changer de base légale doit alors informer les personnes concernées par tous moyens appropriés et leur permettre, le cas échéant, d'exercer leurs droits sur la base nouvelle (notamment le droit d'opposition pour les intérêts légitimes).

L'articulation entre bases légales multiples pour un même traitement n'est pas autorisée par le RGPD. Chaque finalité doit reposer sur une base légale unique et clairement identifiée. La pratique consistant à invoquer cumulativement plusieurs bases légales (consentement et intérêts légitimes par exemple) pour sécuriser le traitement face à un risque d'invalidation est sanctionnée par l'EDPB et plusieurs autorités nationales comme contraire à l'esprit du règlement.

La documentation du choix de base légale dans le registre des activités de traitement (article 30 du RGPD) constitue un préalable opérationnel à toute défense en cas de contrôle. La CNIL contrôle systématiquement la cohérence entre la base légale invoquée et les caractéristiques effectives du traitement, et peut requalifier le traitement si l'analyse révèle un choix manifestement inadapté.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de base légale

  • la qualification juridique de chaque traitement de données et le choix de la base légale adaptée ;
  • la rédaction des analyses de mise en balance pour les traitements fondés sur les intérêts légitimes ;
  • la rédaction des mentions d'information conformes aux exigences des articles 13 et 14 du RGPD ;
  • la mise en place des mécanismes de recueil et de retrait du consentement conformes au RGPD ;
  • la révision du registre des activités de traitement pour cohérence avec les bases légales déclarées ;
  • la défense face aux contrôles CNIL portant sur la base légale des traitements ;
  • l'accompagnement dans les contentieux civils opposant responsables et personnes concernées sur la base légale ;
  • la formation des équipes à l'identification et au choix des bases légales adaptées ;
  • la mise à jour des bases légales en cas d'évolution substantielle des traitements.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 6, art. 9, art. 10, art. 13, art. 14, art. 30, art. 83, EDPB Lignes directrices 2/2019 sur le traitement contractuel, EDPB Lignes directrices 5/2020 sur le consentement, jurisprudence CJUE 6 octobre 2020 (La Quadrature du Net C-511/18), CJUE 29 juillet 2019 (Fashion ID C-40/17), CNIL guide pratique sur les bases légales. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.