04 83 43 80 43

Définir la base légale d'un traitement de données personnelles

Consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime. Choisir la base légale adéquate peut s'avérer complexe

 

 

LES 6 BASES LÉGALESCHOISIR LA BASE LÉGALE ADÉQUATE

L’ARTICLE 6 DU RGPD STIPULE QUE LE TRAITEMENT DE DONNÉES PERSONNELLES N’EST LICITE QUE SI AU MOINS UNE DES 6 BASES LÉGALES EST REMPLIE : CONSENTEMENT, CONTRAT, OBLIGATION LÉGALE, INTÉRET VITAL, MISSION D’INTÉRET PUBLIC OU RELEVANT DE L’EXERCICE DE L’AUTORITÉ PUBLIC, INTÉRET LÉGITIME.

Qu'est-ce que la base légale d'un traitement ?

La base légale d’un traitement de données personnelles est ce qui autorise légalement sa mise en œuvre. C’est à dire, ce qui donne le droit à un organisme responsable de traitement ou sous-traitant de collecter ou d’utiliser des données personnelles. Les autres terminologies sont le fondement juridique ou la base juridique du traitement. Dans le cadre du RGPD, six bases légales sont prévues.

 

L’article 5 du RGPD Principes relatifs au traitement des données à caractère personnel stipule que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence). La liceité d’un traitement signifie la nécessité de disposer d’une base légale autorisant la mise en oeuvre du traitement envisagé par le reponsable de traitement.

L’article 6 du RGPD Liceité du traitement défini les 6 bases légales détaillées ci-après que sont le consentement, le contrat, l’obligation légale, l’intérêt vital, la mission d’intérêt public, et l’intérêt légitime du responsable de traitement. 

Les 6 bases légales d’un traitement

1 - Le consentement

La personne concernée a consenti au traitement de ses DCP pour une ou plusieurs finalités spécifiques (consentement

    2 - Le contrat

    Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie

    3 - Le respect d'une obligation légale

      Le traitement est nécessaire au respect d’une obligation légale du RT

       

      4 - La sauvegarde de l'intérêt vital

      Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne

      5 - La mission d'intérêt public

      le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique du RT

      6 - L'intérêt légitime

      Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le RT ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des DCP, notamment lorsque la personne concernée est un enfant.

      Déterminer la base légale d'un traitement de données personnelles

      Le responsable de traitement détermine la base juridique (base légale) d’un traitment via une approche dite par élimination (de 1 à 6).

      1. S’agit-il d’une obligation légale à laquelle le responsable de traitement est soumis ? Si oui, alors la base légale est l’obligation légale.
      2. Le traitment est-t-il mis en oeuvre dans le cadre d’une mission d’intérêt public ou relevant de l’exercice public dont est investi le responsable du traitement ? Si oui alors la base légale est la mission d’intérêt public ou relevant de l’exercice public.
      3. Le traitement est-t-il nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (et la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ?), alors la base légale est la sauvegarde des intérêts vitaux.
      4. Le traitement est-t-il nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ? Si oui, alors la base légale est le contrat.
      5. Le responsable de traitement s’estime-t-il (ou le tiers si communication de données à un tiers) légitime à mettre en oeuvre le traitement sans que ne prévalent les intérêts et libertés de la personne ? Si oui, l’analyse reste-t-elle valide en la confrontant au considérant 47 (ci-dessous). Si oui alors la base légale est l’intérêt légitime.

      Considérant 47 : Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement.

      Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service.

      En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.

      Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur.

      Remarque : cette base juridique ne s’applique pas aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions.

      6. Le traitement doit-être basé sur le consentement de parsonne concernée.

      FAQ

      Comment se former au RGPD ?

      Nous vous invitons à suivre notre formation en 3 jours Conduire une démarche de conformité RGPD. En savoir +

      Que signifie le sigle RGPD ?

      RGPD signifie « Règlement Général à la Protection des Données », il s’agit d’une traduction de l’anglais GDPR « General Data Protection Regulation ». En savoir + 

      Quelles sont les responsabilités des acteurs au RGPD?

      Le principe d’accountability est une nouvelle logique de responsabilisation des organismes. Il est important dans une démarche de mise en conformité RGPD, de respecter les principes de Privacy by design et Privacy by default. En savoir +

      Comment comprendre le vocabulaire spécifique au RGPD ?

      Le vocabulaire spécifique au RGPD est très précis. Nous avons établie un glossaire complet pour vous aider dans votre conformité au RGPD. Voir le glossaire

      Autres pages sur le RGPD

      Contactez-Nous 04 83 43 80 43

      Renseignements, Devis, Prise de rendez-vous