Article 6 RGPD : les 6 bases légales analysées
Article 6 du RGPD : commentaire détaillé des 6 bases légales (paragraphes 1(a) à 1(f)), conditions d'application, jurisprudence CJUE et CNIL et erreurs à éviter.
- Ce que dit l’article 6 du RGPD
- Art. 6(1)(a) : le consentement
- Art. 6(1)(b) : l’exécution du contrat
- Art. 6(1)© : le respect d’une obligation légale
- Art. 6(1)(d) : la sauvegarde des intérêts vitaux
- Art. 6(1)(e) : la mission d’intérêt public ou l’exercice de l’autorité publique
- Art. 6(1)(f) : l’intérêt légitime
- Art. 6(2) et 6(3) : les marges des États membres
- Art. 6(4) : le changement de finalité
- Comment choisir la bonne base légale en pratique
- Sanctions et jurisprudence sur l’article 6
- Ce qu’il faut retenir
- FAQ
L’Art. 6 du RGPD est probablement la disposition la plus invoquée — et la plus mal comprise — du règlement. Sans base légale valable au sens de cet article, aucun traitement de données personnelles n’est licite : la sanction maximale (20 millions d’euros ou 4 % du chiffre d’affaires mondial) s’applique. Dans tous les contrôles CNIL que j’ai accompagnés depuis 2018, l’examen commence systématiquement par l’Art. 6 — quelle base légale, pourquoi, comment elle est documentée. Voici le commentaire paragraphe par paragraphe que je donne à mes clients pour défendre un traitement face à un contrôle.
Ce que dit l’article 6 du RGPD
L’Art. 6(1) énumère six bases légales — et uniquement six — sur lesquelles peut reposer un traitement de données à caractère personnel : le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde d’intérêts vitaux, l’exécution d’une mission d’intérêt public, et l’intérêt légitime. La liste est limitative : aucune autre base ne peut être invoquée. Si aucune des six ne s’applique, le traitement est tout simplement interdit.
Cette architecture est la clé de lecture de l’ensemble du texte. Le principe de licéité énoncé à l’Art. 5(1)(a) du RGPD est opérationnalisé par l’Art. 6 : il faut une base parmi les six, et une seule doit être désignée par traitement. Choisir, ce n’est pas cumuler.
Les paragraphes 6(2) et 6(3) précisent les marges nationales pour les bases « obligation légale » et « mission d’intérêt public ». Le paragraphe 6(4) encadre les changements de finalité : si un traitement est initié pour une finalité, son réutilisation pour une autre finalité doit être compatible avec la première — sinon, il faut un nouveau fondement.
Les sanctions prévues sont les plus lourdes du règlement, au même niveau que les manquements à l’Art. 5 : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(a)). C’est dire l’importance que le législateur européen attache à cette condition de licéité.
Art. 6(1)(a) : le consentement
« La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. »
Le consentement est la base la plus visible mais aussi la plus exigeante. Les conditions de validité sont précisées à l’Art. 7 du RGPD : libre, spécifique, éclairé, univoque. Le considérant 32 ajoute qu’il doit résulter d’un acte positif clair — une case pré-cochée, un silence ou l’inaction ne valent pas consentement.
Le consentement doit en outre être démontrable : le responsable de traitement doit être en mesure de produire la preuve qu’il a été obtenu, à quelle date, pour quelle finalité précise et sur la base de quelle information. Cette obligation probatoire est posée à l’Art. 7(1) et constitue l’un des points de contrôle systématiques de la CNIL.
Trois pièges récurrents que je rencontre en audit. D’abord, le consentement « bundle » : un seul opt-in pour cinq finalités hétérogènes (newsletter, prospection partenaires, profilage, géolocalisation, cookies). La CNIL exige un consentement granulaire, finalité par finalité. Ensuite, le consentement conditionné à l’exécution d’un service qui n’en a pas besoin (Art. 7(4)) : un site e-commerce ne peut pas exiger un consentement marketing pour permettre l’achat. Enfin, l’absence de mécanisme de retrait aussi simple que le recueil — pourtant obligatoire (Art. 7(3)).
Pour le détail des conditions de recueil, des mécanismes techniques et des cas particuliers (cookies, mineurs, formulaires), j’ai consacré un guide complet : consentement RGPD : conditions de validité et modèles. Pour les formulations prêtes à l’emploi, voir les modèles de consentement RGPD (newsletter, formulaire, cookies, programme bêta).
Art. 6(1)(b) : l’exécution du contrat
« Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci. »
C’est la base la plus utilisée en B2C transactionnel. Elle couvre deux situations : l’exécution d’un contrat déjà conclu (livraison d’un produit, fourniture d’un service, gestion d’un compte client) et les mesures précontractuelles prises à la demande de la personne (envoi d’un devis, simulation de prêt, configuration d’une commande).
Le mot-clé est nécessaire. Le traitement doit être objectivement indispensable à l’exécution du contrat, pas simplement utile au responsable de traitement. La CJUE a précisé cette exigence dans l’arrêt Meta Platforms du 4 juillet 2023 (C-252/21) : le ciblage publicitaire personnalisé n’est pas nécessaire à l’exécution d’un contrat de réseau social, même si le service est gratuit et financé par la publicité. La nécessité s’apprécie objectivement, à l’aune de l’exécution effective du contrat — pas du modèle économique du fournisseur.
Le considérant 44 précise utilement que cette base couvre « les traitements nécessaires à la conclusion ou à l’exécution » d’un contrat. La gestion des paiements, la facturation, la livraison, le service après-vente entrent typiquement dans ce périmètre. La prospection sur la base d’un fichier client existant n’y entre pas — elle doit reposer sur le consentement ou l’intérêt légitime.
Erreur fréquente : invoquer l’Art. 6(1)(b) pour le profilage marketing, l’enrichissement de données ou la revente à des partenaires. Aucune de ces opérations n’est nécessaire à l’exécution du contrat — la base juridique est ailleurs.
Art. 6(1)© : le respect d’une obligation légale
« Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. »
Cette base couvre les traitements imposés par une norme contraignante : conservation des factures (10 ans, Art. L. 102 B LPF), tenue d’un registre des activités de traitement, déclarations sociales URSSAF, lutte anti-blanchiment (Code monétaire et financier), conservation des données de connexion par les opérateurs (loi n° 2004-575 modifiée), etc.
L’obligation doit être prévue par le droit de l’Union ou le droit national d’un État membre (Art. 6(3)). Une simple recommandation d’un organisme professionnel, un usage du secteur ou une bonne pratique ne suffisent pas. Le considérant 41 rappelle que la base juridique invoquée doit être claire et précise et son application prévisible pour les justiciables.
Avantage de cette base : le consentement n’est pas requis et la personne ne peut pas s’opposer au traitement. Inconvénient : le traitement doit rester strictement limité à ce qu’exige l’obligation. Si une loi impose de conserver les factures pendant 10 ans, il n’est pas permis de réutiliser ces données pour de la prospection — c’est un changement de finalité au sens de l’Art. 6(4).
Dans mon expérience de conseil, l’erreur la plus fréquente consiste à invoquer une « obligation » qui n’en est pas une : politique interne de l’entreprise, exigence d’un partenaire commercial, recommandation sectorielle. Pour valider la base 6(1)©, il faut pouvoir citer le texte précis (article, alinéa, source) qui impose le traitement.
Art. 6(1)(d) : la sauvegarde des intérêts vitaux
« Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. »
Base étroite et exceptionnelle. Elle ne s’applique qu’aux situations où la vie ou l’intégrité physique d’une personne est en jeu : urgence médicale, catastrophe naturelle, accident grave. Le considérant 46 précise qu’elle doit être interprétée de manière restrictive et qu’elle ne devrait être utilisée que si « manifestement, aucune autre base juridique » ne peut être invoquée.
Cas typiques : traitement de données médicales par un service d’urgence pour un patient inconscient, identification d’une victime d’attentat, transmission d’informations à des secours. Pour les données de santé, la combinaison avec l’Art. 9 du RGPD est obligatoire : il faut à la fois une base 6(1)(d) et une exception 9(2)© à l’interdiction de traitement des données sensibles.
Erreur à éviter : invoquer cette base pour des traitements de santé routiniers (médecine du travail, soins programmés, dossier patient en cabinet). Ces traitements relèvent d’autres bases (obligation légale, exécution du contrat médical, intérêt public dans le domaine de la santé) — pas de l’urgence vitale.
Art. 6(1)(e) : la mission d’intérêt public ou l’exercice de l’autorité publique
« Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. »
Cette base est principalement utilisée par le secteur public : administrations, collectivités, établissements publics, organismes investis d’une mission de service public. Elle exige que la mission soit définie par le droit de l’Union ou le droit national (Art. 6(3)).
Quelques exemples : traitement par une mairie pour la gestion de l’état civil, des listes électorales, du stationnement payant ; traitement par un ordre professionnel pour la tenue du tableau ; traitement par un organisme de sécurité sociale pour le versement de prestations. La base juridique doit être identifiée précisément (article du Code général des collectivités territoriales, du Code de la santé publique, etc.).
Le secteur privé peut invoquer cette base lorsqu’il est délégataire d’une mission de service public — gestion d’un service de transport public, exploitation d’une école sous contrat, etc. La frontière avec l’intérêt légitime est parfois subtile : le critère est l’existence d’un acte juridique qui investit le responsable de la mission considérée.
Avantage opérationnel : comme pour l’Art. 6(1)©, pas de consentement requis. La personne ne peut s’opposer au traitement que dans les conditions strictes de l’Art. 21(1) — opposition motivée par sa situation particulière, que le responsable peut écarter en démontrant des « motifs légitimes et impérieux ».
Art. 6(1)(f) : l’intérêt légitime
« Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. »
C’est la base la plus flexible — et donc la plus piégée. Elle s’apprécie au moyen d’un triple test dont les trois conditions sont cumulatives : un intérêt légitime du responsable (ou d’un tiers) ; la nécessité du traitement pour atteindre cet intérêt ; et un équilibre favorable entre cet intérêt et les droits et libertés fondamentaux de la personne concernée.
L’intérêt légitime ne peut jamais être invoqué par une autorité publique dans l’exercice de ses missions (Art. 6(1) dernier alinéa). C’est une base réservée au secteur privé et aux personnes publiques agissant en dehors de leurs prérogatives.
Cas d’usage validés par la CNIL et les CEPD : la prospection commerciale B2B sur fichier interne, la prévention de la fraude, la sécurité informatique, la vidéosurveillance proportionnée d’un site, la transmission intra-groupe à des fins administratives, la sauvegarde de preuves contractuelles. À l’inverse, la CJUE a écarté cette base pour le ciblage publicitaire de masse non consenti (Meta Platforms, C-252/21) et pour la transmission de données à des courtiers en données.
Particularité : l’intérêt légitime ouvre un droit d’opposition renforcé (Art. 21(1)) que la personne peut exercer pour des raisons tenant à sa situation particulière. Le responsable doit alors arrêter le traitement, sauf à démontrer des motifs légitimes et impérieux qui prévalent. Pour la prospection commerciale, l’opposition est inconditionnelle (Art. 21(2)).
J’ai consacré un guide dédié aux modalités du triple test, à sa documentation et aux cas d’usage acceptés ou refusés par la CNIL : intérêt légitime RGPD : quand et comment l’utiliser.
Art. 6(2) et 6(3) : les marges des États membres
L’Art. 6(2) et 6(3) habilite les États membres à préciser les conditions d’application des bases « obligation légale » (Art. 6(1)©) et « mission d’intérêt public » (Art. 6(1)(e)). C’est sur ce fondement que la France a maintenu, dans la loi Informatique et Libertés modifiée, plusieurs régimes spécifiques : NIR, traitements à risque pour la santé, casiers judiciaires, traitements de souveraineté.
En pratique, cela signifie que pour ces deux bases, il faut vérifier non seulement que le RGPD est respecté mais aussi que les exigences additionnelles du droit national sont satisfaites — notamment les formalités préalables maintenues par les Art. 31 et suivants de la loi Informatique et Libertés (autorisation, demande d’avis, référentiels CNIL).
Art. 6(4) : le changement de finalité
« Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre […], le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données ont été initialement collectées, tient compte, entre autres : […]. »
Cette disposition encadre la réutilisation des données pour une finalité différente de celle de la collecte. Le principe : un changement de finalité n’est possible que si la nouvelle finalité est compatible avec l’initiale, ou s’il existe un nouveau fondement (consentement spécifique, obligation légale).
Cinq critères d’appréciation sont énoncés à l’Art. 6(4) : le lien entre les finalités, le contexte de la collecte, la nature des données (notamment si elles sont sensibles), les conséquences possibles pour la personne, et l’existence de garanties appropriées (chiffrement, pseudonymisation).
Application typique : une entreprise qui a collecté l’email de ses clients pour la livraison veut l’utiliser pour de la prospection commerciale. Test de compatibilité : le lien existe (relation commerciale préexistante), mais le contexte de la collecte ne laissait pas prévoir cet usage marketing. La CNIL et les juges considèrent généralement que cette réutilisation exige un nouveau fondement — le consentement explicite, ou pour les clients existants, l’intérêt légitime au sens de l’article L. 34-5 du Code des postes et communications électroniques (« soft opt-in » sur produits ou services analogues).
Comment choisir la bonne base légale en pratique
L’Art. 6 impose de désigner une seule base par traitement et de la documenter dans le registre des activités de traitement. Le choix n’est pas libre : il doit refléter la nature objective du traitement.
Trois principes opérationnels que je recommande dans tous les audits que je conduis. D’abord, désigner avant de traiter : la base doit être identifiée avant le démarrage du traitement, pas justifiée a posteriori. Ensuite, ne pas changer de base en cours de route : un traitement démarré sur le consentement ne peut pas basculer sur l’intérêt légitime parce que les taux de retrait sont trop élevés — le CEPD l’a rappelé dans ses lignes directrices 05/2020. Enfin, documenter le raisonnement : pourquoi cette base et pas une autre, notamment quand plusieurs étaient envisageables. Cette documentation est exigible au titre de l’accountability (Art. 5(2)).
Pour une approche méthodologique complète et un arbre de décision adapté à chaque situation pratique, voir le guide base légale RGPD : les 6 fondements expliqués.
C’est précisément ce travail d’identification, d’arbitrage et de documentation que Legiscope automatise dans son module de cartographie des traitements — chaque traitement est associé à sa base, le triple test est tracé pour les intérêts légitimes, et la documentation reste mobilisable en cas de contrôle.
Sanctions et jurisprudence sur l’article 6
L’Art. 83(5)(a) place les manquements à l’Art. 6 dans la catégorie supérieure : amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Quelques décisions structurantes à connaître.
La CNIL a sanctionné Criteo à 40 millions d’euros le 15 juin 2023 (délibération SAN-2023-009) pour l’absence de consentement valable au sens de l’Art. 6(1)(a) — défaut de preuve, défaut de granularité, défaut d’information. La société invoquait l’intérêt légitime à titre subsidiaire ; la formation restreinte a écarté cette base au motif que le traitement portait sur des dizaines de millions de personnes sans réelle transparence.
La CJUE, dans son arrêt Meta Platforms (C-252/21, 4 juillet 2023), a opéré trois clarifications majeures : l’exécution du contrat (Art. 6(1)(b)) ne couvre pas le ciblage publicitaire personnalisé, même quand le service est gratuit ; l’intérêt légitime (Art. 6(1)(f)) doit être démontré in concreto et n’exonère pas du test de mise en balance ; le consentement conditionné à l’usage du service n’est pas libre au sens de l’Art. 7(4).
La CJUE a également jugé, dans l’arrêt Schufa du 7 décembre 2023 (C-634/21), qu’un score de solvabilité utilisé seul pour décider d’octroyer un crédit constitue une décision automatisée au sens de l’Art. 22 — ce qui a des implications directes sur la base légale : le traitement nécessite généralement un consentement explicite ou une autorisation légale spécifique.
La CNIL a sanctionné Cityscoot à 125 000 euros (SAN-2023-003) pour avoir invoqué l’exécution du contrat (Art. 6(1)(b)) pour la géolocalisation continue des utilisateurs alors que celle-ci n’était pas nécessaire au service — la formation restreinte a retenu un manquement à l’Art. 6.
Au-delà des amendes, l’enjeu réputationnel est considérable : ces décisions sont publiées, circulent dans le réseau des autorités européennes via le mécanisme de coopération du chapitre VII, et constituent des précédents repris dans les contrôles ultérieurs.
Ce qu’il faut retenir
- L’Art. 6 RGPD énumère six bases légales limitativement, et une seule doit être désignée par traitement : consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime.
- Les sanctions pour manquement à l’Art. 6 relèvent du plafond maximal : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(a)).
- La base doit être identifiée avant le traitement et documentée dans le registre ; un changement de base en cours de route est interdit (lignes directrices CEPD 05/2020).
- L’intérêt légitime (6(1)(f)) exige un triple test cumulatif et n’est pas accessible aux autorités publiques dans l’exercice de leurs missions.
- Le changement de finalité (Art. 6(4)) suppose soit la compatibilité avec la finalité initiale (cinq critères), soit un nouveau fondement.
- La CJUE (Meta Platforms, Schufa) et la CNIL (Criteo, Cityscoot) ont resserré les conditions d’utilisation des bases « contrat » et « intérêt légitime » : invocation routinière sans démonstration in concreto = manquement.
FAQ
Combien de bases légales prévoit l’article 6 du RGPD ?
L’Art. 6(1) prévoit six bases légales limitativement énumérées : a) le consentement, b) l’exécution d’un contrat, c) le respect d’une obligation légale, d) la sauvegarde d’intérêts vitaux, e) l’exécution d’une mission d’intérêt public, f) l’intérêt légitime. Aucune autre base ne peut être invoquée pour fonder un traitement de données personnelles.
Peut-on cumuler plusieurs bases légales pour un même traitement ?
Non. Le RGPD impose de désigner une seule base légale par traitement, identifiée avant le démarrage et documentée dans le registre des activités de traitement. Le Comité européen de la protection des données (CEPD) a précisé dans ses lignes directrices 05/2020 que les bases ne doivent pas être présentées comme alternatives ou cumulatives — cette pratique trompe la personne sur l’étendue de ses droits (notamment le droit de retrait pour le consentement et le droit d’opposition pour l’intérêt légitime).
Quelle est la différence entre l’article 5 et l’article 6 du RGPD ?
L’Art. 5 RGPD pose les principes généraux applicables à tout traitement (licéité, minimisation, accountability, etc.). L’Art. 6 concerne spécifiquement le fondement juridique d’un traitement — c’est-à-dire l’opérationnalisation du principe de licéité de l’Art. 5(1)(a). Un traitement peut respecter l’Art. 6 (base légale valable) et néanmoins violer l’Art. 5 (collecte excessive, conservation trop longue, défaut d’information).
Comment changer de base légale pour un traitement existant ?
Il n’est en principe pas possible de changer la base légale d’un traitement en cours. Si la base initialement choisie n’est plus adaptée, il faut soit arrêter le traitement, soit redémarrer une nouvelle opération sur la nouvelle base — avec une nouvelle information des personnes et le respect des conditions propres à cette base. Le CEPD considère que le changement opportuniste de base (par exemple du consentement vers l’intérêt légitime pour échapper aux retraits) est un manquement à la transparence et à la loyauté.
L’intérêt légitime peut-il être invoqué par une administration ?
Non. L’Art. 6(1) dernier alinéa exclut explicitement l’intérêt légitime pour les autorités publiques agissant dans l’exercice de leurs missions. Une mairie, un ministère, un organisme de sécurité sociale doit fonder ses traitements sur l’obligation légale (6(1)©) ou la mission d’intérêt public (6(1)(e)). En revanche, une autorité publique agissant en dehors de ses prérogatives (par exemple la gestion de son personnel ou de ses propres outils internes hors mission de service public) peut invoquer cette base, comme tout employeur.