L'article 6 du RGPD ou le choix de la base légale

L’article 6 du RGPD est une des dispositions essentielle car il fixe la nécessité de disposer d’une base légale. En effet, il ne peut être autorisé de collecter des données personnelles qu’à la condition d’être dans l’un des 6 cas qui sont énumérés par la loi. Voyons donc en détail l’article 6 avant d’expliciter la base légale, et surtout, comment choisir la bonne, sous peine de sanctions.

Article 6 - Licéité du traitement

  1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci; c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis; d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique; e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

Cela appelle donc à deux questions : quelles sont ces bases légales et comment choisir la bonne.

1. Quelles sont les bases légales proposées par l’article 6 ?

L’article 6 du RGPD nous donne 6 bases légales qui autorise la collecte de données personnelles :

  1. Le consentement des personnes
  2. Le contrat, ou des mesures pré-contractuelles
  3. Une obligation légale
  4. La sauvegarde des intérêts vitaux d’une personne
  5. Intérêt public / autorité publique
  6. Les intérêts légitimes du responsable de traitement

Attention, le choix de la base légale est essentiel pour chaque traitement, les autorités nationales de contrôle ont déjà sanctionné des responsables de traitement dans des cas ou la base légale n’était pas la bonne.

2. Comment choisir la bonne base légale ?

La meilleure manière de faire un choix cohérent est de procéder par élimination.

2.1 - De manière générale, il est assez simple de déterminer si la base légale est une obligation légale, qui sont les cas dans lesquels la loi impose la collecte de données personnelles. Par exemple en matière de droit du travail, ou en matière fiscale (facturation). Dans tous les cas ou la loi impose la collecte de données personnelles, la base légale sera alors l’obligation légale. Par exemple dans le cadre de nos formation sur la conformité RGPD, en tant qu’organisme de formation, nous sommes tenus de collecter le nom et le prénom du participant afin de permettre une évaluation de la formation suivie, ce qui est une obligation imposée par le code de l’éducation aux centres de formation professionnel. Pour ce traitement, la base légale sera donc naturellement l’obligation légale (qui va se combiner avec une seconde base légale qui est le contrat en l’espèce, puisqu’il y a un contrat de formation passé entre un participant et l’organisme de formation, pour continuer sur cet exemple).

2.2 - Une fois cette base légale écartée (ou validée selon les cas), on peut continuer ensuite en se demandant si le cadre de la collecte de données personnelles s’effectue dans un cadre contractuel, ou pré-contractuel. Encore une fois, ces situations sont assez simples à déterminer, c’est le cas par exemple pour une demande de devis, pour la collecte de données pour l’établissement du contrat de travail, ou encore pour une vente en ligne d’un produit ou d’un service.

2.3 - A défaut, on peut ensuite écarter des cas plus spécifiques comme la sauvegarde des intérêts vitaux d’une personne (ex : en matière hospitalière, une personne est dans le coma, et on a besoin de collecter ses données personnelles), ou dans les cas de l’article 6.1.f.

2.4 - Il nous reste donc deux bases légales possibles, on verra la première, le consentement. Le consentement est typiquement utilisé en matière marketing, ou par exemple en matière RH pour la création d’une base CV. Le participant entre son CV dans une base qui est maintenue par un employeur. La base légale doit être ici le consentement car nous ne sommes pas encore au stade de l’établissement d’un contrat de travail. Le principe général du consentement - comme base légale - est que la personne concernée doit pouvoir retirer son consentement à tout moment. Il faut être attentif à respecter ce principe - et les autorités nationales de contrôle comme la CNIL sont très attentives au respect de ce principe. Attention par exemple à ne pas utiliser le consentement comme base légale en matière de droit du travail pour le recrutement (base légale = le contrat, et l’obligation légale de collecter des données). Cela mettrait en cause la responsabilité du responsable de traitement (en plus de montrer que celui-ci n’a pas compris grand-chose au RGPD, ce qui est un mauvais départ en cas de contrôle CNIL).

2.5 - Enfin, à défaut de toute autre base légale, on peut se fonder sur les intérêts légitimes du responsable de traitement. C’est la base légale utilisée en générale pour les traitements de vidéo surveillance - bien qu’il soit également possible d’utiliser l’obligation légale (en l’occurence l’article 32 du RGPD, pour les cas ou la vidéo surveillance est mise en oeuvre pour protéger des données personnelles - comme dans des locaux serveurs par exemple).

Voilà pour l’essentiel de l’article 6, si ce sujet est important pour vous jetez un oeil à nos formations RGPD.

Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)