Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

Dans le cadre du RGPD, chaque traitement de données personnelles doit impérativement reposer sur une base légale clairement définie. Sans fondement juridique, aucune collecte, utilisation ou conservation de données ne peut être considérée comme licite. Ce principe structure l’ensemble de la conformité : il garantit que le traitement sert un objectif légitime, proportionné et transparent pour les personnes concernées.

Le choix de la base légale conditionne la mise en œuvre du traitement, l’accès aux données, les obligations du responsable et la compatibilité des finalités poursuivies avec le RGPD. Comprendre cette notion est donc indispensable pour toute organisation souhaitant sécuriser ses opérations de traitement.

Photo qui illustre une réunion d'entreprise portant sur la base légale RGPD.

Qu’est-ce qu’une base légale selon le RGPD ?

La base légale est la définition juridique qui autorise un responsable de traitement à utiliser des données personnelles. L’article 6 du RGPD énumère les situations dans lesquelles un traitement est licite. Elle doit être déterminée avant toute collecte, et investit le responsable de traitement d’une obligation de justification en cas de contrôle ou de décision de justice.

Ce fondement assure que les données ne sont traitées que pour des finalités précises, dans le respect du caractère légal et loyal du traitement, qu’il s’agisse d’un contrat, d’une obligation ou d’un consentement des personnes.

Les six bases légales prévues par le RGPD pour un traitement de données licite

Le RGPD prévoit six bases légales possibles. Le choix dépend exclusivement de la finalité du traitement.

1. Le consentement

La personne donne son accord libre, éclairé, spécifique et univoque. Autrement dit, la personne a consenti au traitement.

  • Exemple : inscription volontaire à une newsletter.

2. L’exécution du contrat

Le traitement est nécessaire pour exécuter un contrat auquel la personne est partie notamment ou des mesures précontractuelles.

  • Exemple : traitement des données pour créer un compte client, données nécessaires à la livraison d’une commande.

3. L’obligation légale

Le responsable de traitement doit traiter les données pour respecter une obligation légale.

  • Exemple : conservation des factures à des fins comptables.

4. Les intérêts vitaux

Le traitement est indispensable pour protéger la vie ou l’intégrité physique d’une personne.

  • Exemple : transmission d’informations médicales en cas d’urgence.

5. La mission d’intérêt public

Applicable aux organismes exerçant une mission publique ou d’autorité.

  • Exemple : gestion d’un registre électoral.

6. L’intérêt légitime

L’intérêt légitime peut être utilisé comme base légale lorsque le traitement est nécessaire aux objectifs du responsable, dans le respect du déséquilibre au détriment des personnes et de leurs droits fondamentaux.

  • Exemple : sécurisation des systèmes informatiques.
Image illustrant les cases à cocher à remplir pour une base légale conforme au RGPD.

Licéité du traitement : Comment choisir la base légale adaptée ?

Le choix doit toujours se faire en fonction de la finalité, et non selon ce qui semble le plus simple ou le plus confortable pour l’entreprise. Quelques principes clés :

  • Une finalité = une seule base légale.
  • Le consentement n’est pas un “filet de sécurité” : il n’est valable que s’il est libre et révocable.
  • L’intérêt légitime nécessite une analyse approfondie.
  • L’obligation légale ne peut être invoquée que si un texte l’impose réellement.
  • Le contrat ne couvre que ce qui est strictement nécessaire à son exécution par la personne ou par une autre personne mandatée.

Une erreur de base légale peut rendre tout le traitement illicite.

Santé & RGPD : les 9 bonnes pratiques pour être conforme en 2025

Données sensibles, hébergeurs, DPO, consentement… Ce guide pratique aide les acteurs de la santé à anticiper les exigences RGPD.
Télécharger

Pourquoi le choix de la base légale est stratégique ?

La base légale influence directement :

  • Les droits fondamentaux des personnes (ex : droit d’opposition si intérêt légitime, droit de retrait si consentement).
  • Les durées de conservation autorisées et la compatibilité des finalités.
  • Le contenu de la politique de confidentialité.
  • Les preuves à fournir en cas de contrôle CNIL.
  • Les risques de non-conformité si la base est mal choisie.

Elle impacte donc autant les aspects juridiques que les pratiques opérationnelles.

Comment justifier et documenter la base légale ?

Le RGPD repose sur le principe d’accountability : le responsable de traitement doit être en mesure de démontrer la conformité à tout moment. Cela implique :

  • Documenter la base légale dans le registre des traitements.
  • Conserver les preuves associées (ex : trace du consentement).
  • Mettre à jour la documentation en cas d’évolution du traitement.
  • Vérifier régulièrement la pertinence de la base choisie.

Une documentation claire facilite les audits, réduit les risques et rassure les partenaires.

Echange entre deux personnes autour de la base légale RGPD.

Risques et erreurs courantes

Certaines non-conformités sont fréquentes :

  • Consentement invalide ou ambigu ;
  • Utilisation abusive de l’obligation légale ;
  • Mauvaise compréhension de l’intérêt légitime ;
  • Utilisation multiple ou interchangeable des bases légales ;
  • Absence de preuves ou de justification en cas de contrôle.

Ces erreurs peuvent entraîner des sanctions, une atteinte à la réputation et des difficultés opérationnelles.

Conclusion

La base légale est l’un des piliers du RGPD. Bien la choisir, la documenter et la maintenir à jour est indispensable pour assurer la licéité des traitements, protéger les droits des personnes et sécuriser les activités de l’organisation.

En maîtrisant cette notion, les entreprises adoptent une démarche proactive, structurée et responsable, entièrement alignée avec les exigences du RGPD et les attentes croissantes en matière de protection des données.

Samia Rahammia
Samia Rahammia

Juriste IT et Data et Chargée de projets marketing