RGPD Article 6 : Les Six Bases Juridiques du Traitement de Données Personnelles
What you need to know: RGPD Article 6 : Les Six Bases Juridiques du Traitement de Données Personnelles
Le RGPD Article 6 impose d'identifier au moins une base juridique avant tout traitement de donnĂ©es Ă caractĂšre personnel. Il existe six options : consentement, contrat, obligation lĂ©gale, intĂ©rĂȘts vitaux, mission d'intĂ©rĂȘt public et intĂ©rĂȘts lĂ©gitimes. Ce guide explique chacune d'elles avec des exemples et un arbre de dĂ©cision.
Le RGPD Article 6 impose d'identifier au moins une base juridique avant tout traitement de donnĂ©es Ă caractĂšre personnel. Il existe six options : consentement, contrat, obligation lĂ©gale, intĂ©rĂȘts vitaux, mission d'intĂ©rĂȘt public et intĂ©rĂȘts lĂ©gitimes. Choisir la mauvaise base â ou omettre de documenter son choix â peut entraĂźner des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, ainsi qu'une obligation d'effacement des donnĂ©es.
Ce guide explique chaque base, les conditions de son application et la maniĂšre de documenter votre choix.
La loi : RGPD Article 6(1)
« Le traitement n'est licite que si, et dans la mesure oĂč, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractÚre personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nĂ©cessaire Ă la sauvegarde des intĂ©rĂȘts vitaux de la personne concernĂ©e ou d'une autre personne physique ;
e) le traitement est nĂ©cessaire Ă l'exĂ©cution d'une mission d'intĂ©rĂȘt public ou relevant de l'exercice de l'autoritĂ© publique dont est investi le responsable du traitement ;
f) le traitement est nĂ©cessaire aux fins des intĂ©rĂȘts lĂ©gitimes poursuivis par le responsable du traitement ou par un tiers, Ă moins que ne prĂ©valent les intĂ©rĂȘts ou les libertĂ©s et droits fondamentaux de la personne concernĂ©e qui exigent une protection des donnĂ©es Ă caractĂšre personnel, notamment lorsque la personne concernĂ©e est un enfant. »
RĂšgle fondamentale : Vous devez identifier une base juridique par activitĂ© de traitement avant de commencer. Il n'est pas possible d'appliquer plusieurs bases Ă la mĂȘme activitĂ© de traitement, de changer de base rĂ©trospectivement ou de s'appuyer sur une base non documentĂ©e.
Les six bases juridiques
Base 1 : Consentement (Article 6(1)(a))
Le consentement est la base juridique dans laquelle la personne concernée a donné un accord clair et affirmatif au traitement de ses données à caractÚre personnel pour une finalité spécifique.
Quand elle s'applique :
- Courriers électroniques à des fins de marketing auprÚs de personnes avec lesquelles vous n'avez pas de relation commerciale préexistante
- Suivi analytique facultatif au-delà de ce qui est strictement nécessaire au service
- Communication de données à caractÚre personnel à des partenaires tiers à leurs propres fins commerciales
- Tout traitement auquel les personnes concernées ne s'attendent pas raisonnablement dans le cadre de votre service et qu'aucune autre base ne couvre
Exigences au titre de l'Article 7 :
Le consentement doit ĂȘtre :
- Libre â les personnes ne doivent pas ĂȘtre pĂ©nalisĂ©es pour leur refus. Vous ne pouvez pas conditionner l'accĂšs Ă un service au consentement, sauf si le traitement est strictement nĂ©cessaire Ă ce service.
- SpĂ©cifique â un consentement distinct pour chaque finalitĂ©. Vous ne pouvez pas regrouper des finalitĂ©s non liĂ©es en une seule case Ă cocher.
- ĂclairĂ© â la personne concernĂ©e doit comprendre Ă quoi elle consent, pour quelle finalitĂ© et avec qui ses donnĂ©es seront partagĂ©es.
- Univoque â un acte positif clair est requis. Les cases prĂ©-cochĂ©es, le silence et l'inaction ne constituent pas un consentement valide.
Exemples de consentement valide :
- Case à cocher non présélectionnée : « Je souhaite recevoir la lettre d'information d'EuroComply » (cochée par l'utilisateur)
- Cases à cocher distinctes pour « courriers marketing » et « suivi analytique »
- Confirmation par double opt-in pour les abonnements Ă une liste de diffusion
Exemples de consentement invalide :
- Case pré-cochée : « Cochez ici pour vous désabonner des communications marketing » (le désabonnement actif n'est pas un consentement)
- « En créant un compte, vous consentez à ce que nous utilisions vos données à toutes fins »
- Consentement dissimulé dans des conditions d'utilisation que les personnes doivent accepter pour utiliser le service
- « Sans nouvelle de votre part avant vendredi, nous supposerons que vous consentez »
Retrait : Le consentement peut ĂȘtre retirĂ© Ă tout moment, et le retrait doit ĂȘtre aussi facile que l'octroi du consentement. Si le consentement est retirĂ© et qu'il constitue votre seule base juridique, vous devez cesser le traitement et â Ă moins qu'une autre base ne s'applique â supprimer les donnĂ©es.
Base 2 : Contrat (Article 6(1)(b))
Le traitement est licite lorsqu'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou à l'exécution de mesures précontractuelles prises à sa demande.
Quand elle s'applique :
- Traitement du nom et de l'adresse de livraison d'un client pour exécuter une commande
- Traitement des données de paiement pour facturer un service auquel le client a souscrit
- Traitement du curriculum vitae d'un candidat pour évaluer sa candidature (à sa demande)
- Traitement des informations financiÚres d'un emprunteur potentiel pour examiner sa demande de crédit
Le critĂšre de nĂ©cessitĂ© : Le traitement doit ĂȘtre rĂ©ellement nĂ©cessaire Ă l'exĂ©cution du contrat. « Utile » ou « pratique » ne suffit pas â si vous pouviez exĂ©cuter le contrat sans ce traitement, cette base ne s'applique pas.
Ce que la base contractuelle ne couvre pas :
- Le marketing auprÚs du client au-delà de ce qui est nécessaire à l'exécution du contrat
- Les analyses et le profilage au-delĂ de ce que le service requiert
- Le partage des données clients avec des tiers à leurs propres fins commerciales
Ces finalitĂ©s secondaires requiĂšrent leur propre base juridique (consentement ou intĂ©rĂȘts lĂ©gitimes).
Documentation : Conservez le contrat ou la confirmation de commande, et enregistrez quelles activités de traitement spécifiques sont nécessaires à quelle obligation contractuelle.
Base 3 : Obligation légale (Article 6(1)(c))
Le traitement est licite lorsqu'il est nĂ©cessaire au respect d'une obligation lĂ©gale dĂ©coulant du droit de l'Union ou du droit d'un Ătat membre.
Quand elle s'applique :
- Conservation des factures et des piÚces comptables pendant 10 ans en droit comptable français (article L. 123-22 du Code de commerce)
- Vérification de l'identité des clients (KYC/LCB-FT) au titre des exigences de la Directive anti-blanchiment
- Tenue des registres de paie en application du droit du travail
- Communication de données à des autorités judiciaires en exécution d'une décision de justice
- Conservation des registres d'accidents du travail en application de la réglementation sur la santé et la sécurité au travail
Ce qu'elle exige : L'obligation doit ĂȘtre imposĂ©e par la loi â non par une obligation contractuelle que vous avez acceptĂ©e, ni par une bonne pratique sectorielle, ni par une demande d'un client. La disposition lĂ©gale spĂ©cifique doit ĂȘtre identifiable.
Documentation : Citez le rÚglement, la directive ou la loi spécifique qui crée l'obligation. Notez la durée de conservation qu'elle impose. Lorsque l'obligation légale prend fin ou que la durée de conservation expire, supprimez les données.
Important : Vous ne pouvez pas vous appuyer sur l'obligation lĂ©gale comme base pour conserver des donnĂ©es « au cas oĂč » vous seriez tenu de les produire ultĂ©rieurement. L'obligation doit ĂȘtre actuelle et identifiable.
Base 4 : IntĂ©rĂȘts vitaux (Article 6(1)(d))
Le traitement est licite lorsqu'il est nĂ©cessaire Ă la sauvegarde des intĂ©rĂȘts vitaux de la personne concernĂ©e ou d'une autre personne physique.
Quand elle s'applique :
- Traitement des antécédents médicaux d'un patient pour lui prodiguer des soins d'urgence lorsqu'il est inconscient et incapable de consentir
- Communication de la localisation d'une personne aux services de secours à la suite d'un appel de détresse
- Alerte des clients d'un risque sanitaire imminent lié à un rappel de produit
- Communication d'informations sur une personne disparue aux autorités chargées de l'application de la loi
Ce que « intĂ©rĂȘts vitaux » signifie : Cette base est limitĂ©e aux situations impliquant la vie, la mort ou la sĂ©curitĂ© physique. Elle ne s'applique pas aux intĂ©rĂȘts financiers, au bien-ĂȘtre Ă©motionnel (en l'absence d'un risque physique grave) ou Ă la continuitĂ© des activitĂ©s.
La rĂšgle du consentement prioritaire : Lorsque la personne concernĂ©e est en mesure de donner son consentement, vous devriez rechercher le consentement plutĂŽt que de vous appuyer sur les intĂ©rĂȘts vitaux. Cette base est principalement rĂ©servĂ©e aux situations dans lesquelles l'obtention du consentement est physiquement impossible.
Documentation : Consignez l'intĂ©rĂȘt vital en jeu, la raison pour laquelle le traitement Ă©tait nĂ©cessaire et pourquoi une approche moins intrusive n'Ă©tait pas possible.
Base 5 : Mission d'intĂ©rĂȘt public (Article 6(1)(e))
Le traitement est licite lorsqu'il est nĂ©cessaire Ă l'exĂ©cution d'une mission d'intĂ©rĂȘt public ou relevant de l'exercice de l'autoritĂ© publique dont est investi le responsable du traitement.
Quand elle s'applique :
- Une administration fiscale traitant les données financiÚres des contribuables pour administrer la législation fiscale
- Une autorité de santé publique traitant des données de patients pour surveiller les épidémies
- Une université traitant les dossiers des étudiants pour délivrer des diplÎmes
- Un régulateur traitant des données financiÚres pour contrÎler la conformité à la législation sur les services financiers
Ce qu'elle ne couvre pas :
Les entreprises privĂ©es ne bĂ©nĂ©ficient gĂ©nĂ©ralement pas de cette base, mĂȘme si leurs activitĂ©s servent l'intĂ©rĂȘt public. Un opĂ©rateur de services essentiels, un Ă©tablissement de santĂ© privĂ© ou une ONG menant des recherches doit utiliser une autre base â gĂ©nĂ©ralement les intĂ©rĂȘts lĂ©gitimes ou le consentement â Ă moins qu'une loi ne leur dĂ©lĂšgue expressĂ©ment une autoritĂ© publique spĂ©cifique.
Documentation : Citez la fonction lĂ©gale ou l'autoritĂ© publique spĂ©cifique qui justifie le traitement. RĂ©alisez une analyse d'impact relative Ă la protection des donnĂ©es (AIPD) â cette base implique souvent un traitement Ă grande Ă©chelle ou des donnĂ©es sensibles.
Base 6 : IntĂ©rĂȘts lĂ©gitimes (Article 6(1)(f))
Le traitement est licite lorsqu'il est nĂ©cessaire aux fins des intĂ©rĂȘts lĂ©gitimes que vous poursuivez ou qu'un tiers poursuit, Ă moins que ne prĂ©valent les intĂ©rĂȘts ou les libertĂ©s et droits fondamentaux de la personne concernĂ©e.
Il s'agit de la base la plus flexible, mais elle requiert un test de mise en balance documenté.
Quand elle s'applique :
- Prévention de la fraude : analyse des schémas de transactions pour détecter les activités frauduleuses
- Sécurité des réseaux et des systÚmes d'information : surveillance des systÚmes pour détecter les intrusions et les violations de données
- Marketing direct : démarchage des clients existants au sujet de produits ou services connexes
- Administration interne : traitement des données des salariés à des fins RH, de paie et de gestion du lieu de travail
- Défense juridique : conservation des données nécessaires pour se défendre contre d'éventuelles actions en justice
- Analyse : traitement des données d'utilisation pour améliorer vos produits et services
Le test en trois Ă©tapes (Analyse d'IntĂ©rĂȘts LĂ©gitimes â AIL) :
Avant de vous appuyer sur les intĂ©rĂȘts lĂ©gitimes, vous devez rĂ©aliser et documenter une Analyse d'IntĂ©rĂȘts LĂ©gitimes (AIL) :
- Test de finalitĂ© â Votre intĂ©rĂȘt est-il lĂ©gitime ? (Les finalitĂ©s commerciales, opĂ©rationnelles et sociales peuvent toutes ĂȘtre retenues)
- Test de nĂ©cessitĂ© â Le traitement est-il nĂ©cessaire pour atteindre cet objectif ? Pourriez-vous y parvenir avec moins de donnĂ©es ou des mĂ©thodes moins intrusives ?
- Test de mise en balance â Votre intĂ©rĂȘt prĂ©vaut-il sur les droits au respect de la vie privĂ©e de la personne concernĂ©e ? Prenez en compte : la nature des donnĂ©es, les attentes raisonnables de la personne, le prĂ©judice potentiel pour elle et les mesures d'attĂ©nuation susceptibles de rĂ©duire l'impact
Le test de mise en balance en pratique :
| ActivitĂ© de traitement | Votre intĂ©rĂȘt | Attentes de la personne concernĂ©e | PrĂ©judice | RĂ©sultat | |------------------------|---------------|----------------------------------|-----------|----------| | Marketing par courrier Ă©lectronique auprĂšs de clients existants concernant des produits similaires | GĂ©nĂ©rer des revenus | Raisonnable â ils ont effectuĂ© un achat auprĂšs de vous | Faible â dĂ©sabonnement aisĂ© | IntĂ©rĂȘts lĂ©gitimes applicables | | Vente de donnĂ©es clients Ă des tiers non liĂ©s Ă des fins de marketing | MonĂ©tisation des donnĂ©es | Non raisonnable â partage inattendu | ĂlevĂ© â perte de contrĂŽle sur les donnĂ©es personnelles | IntĂ©rĂȘts lĂ©gitimes primĂ©s | | DĂ©tection des fraudes par analyse des schĂ©mas de transactions | PrĂ©venir les pertes et protĂ©ger les clients | Raisonnable â attendu d'un prestataire de paiement | Nul ou bĂ©nĂ©fique | IntĂ©rĂȘts lĂ©gitimes applicables | | Surveillance des communications des salariĂ©s pour contrĂŽler la productivitĂ© | EfficacitĂ© opĂ©rationnelle | Attentes rĂ©duites dans un contexte professionnel | ModĂ©rĂ© â effet dissuasif sur les communications | Mise en balance dĂ©licate ; une AIPD est probablement requise |
Documentation : RĂ©digez une AIL documentĂ©e abordant les trois Ă©tapes du test. Si une personne concernĂ©e s'oppose Ă votre traitement en vertu de l'Article 21, vous devez dĂ©montrer que vos intĂ©rĂȘts lĂ©gitimes prĂ©valent sur son opposition â sans une AIL documentĂ©e, vous ne pouvez pas le faire.
Non applicable : Aux autoritĂ©s publiques dans l'exercice de leurs missions (utilisez la base « mission d'intĂ©rĂȘt public »), ou lorsque le traitement concerne des donnĂ©es d'enfants (protection renforcĂ©e applicable).
Données sensibles : la condition supplémentaire
Lorsque le traitement porte sur des catĂ©gories particuliĂšres de donnĂ©es Ă caractĂšre personnel au sens de l'Article 9 â notamment les donnĂ©es de santĂ©, les donnĂ©es gĂ©nĂ©tiques, les donnĂ©es biomĂ©triques, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, l'orientation sexuelle â une base juridique au titre de l'Article 6 est nĂ©cessaire mais insuffisante.
Vous devez également satisfaire à l'une des conditions de l'Article 9(2), parmi lesquelles :
- Consentement explicite (selon un niveau d'exigence supérieur au consentement standard)
- Obligations en matiĂšre de droit du travail et de protection sociale
- IntĂ©rĂȘts vitaux lorsque la personne concernĂ©e est dans l'incapacitĂ© de consentir
- Traitement par des organismes à but non lucratif dans le cadre de leurs activités légitimes
- Données manifestement rendues publiques par la personne concernée
- Constatation, exercice ou défense de droits en justice
- Motifs d'intĂ©rĂȘt public important prĂ©vus par le droit d'un Ătat membre
- Diagnostic médical et soins de santé
- IntĂ©rĂȘts de santĂ© publique
- Archivage, recherche scientifique ou historique ou Ă des fins statistiques
Arbre de décision : choisir votre base juridique
Exécutez-vous un contrat auquel la personne concernée est partie,
ou prenez-vous des mesures précontractuelles à sa demande ?
â OUI : Utilisez le Contrat (Article 6(1)(b))
â NON : Continuez
Existe-t-il une obligation légale spécifique (droit de l'UE,
droit national, décision de justice) qui vous impose ce traitement ?
â OUI : Utilisez l'Obligation lĂ©gale (Article 6(1)(c))
â NON : Continuez
La vie ou la sécurité physique d'une personne est-elle en danger
immédiat, et est-il impossible ou impraticable d'obtenir un consentement ?
â OUI : Utilisez les IntĂ©rĂȘts vitaux (Article 6(1)(d))
â NON : Continuez
Ătes-vous une autoritĂ© publique exerçant des fonctions lĂ©gales
ou une autorité publique conférée par la loi ?
â OUI : Utilisez la Mission d'intĂ©rĂȘt public (Article 6(1)(e))
â NON : Continuez
Avez-vous un intĂ©rĂȘt commercial, opĂ©rationnel ou social lĂ©gitime
dans ce traitement ?
â OUI : RĂ©alisez une Analyse d'IntĂ©rĂȘts LĂ©gitimes (AIL)
â Votre intĂ©rĂȘt prĂ©vaut-il sur les droits de la personne concernĂ©e ?
â OUI : Utilisez les IntĂ©rĂȘts lĂ©gitimes (Article 6(1)(f))
â NON : Envisagez de modifier le traitement pour en rĂ©duire l'impact
â NON : Continuez
Pouvez-vous obtenir le consentement libre, spécifique, éclairé
et univoque de la personne concernée ?
â OUI : Utilisez le Consentement (Article 6(1)(a))
â NON : Ne traitez pas les donnĂ©es â vous n'avez aucune base juridique
Liste de contrÎle pour votre registre des activités de traitement (RAT)
Pour chaque activité de traitement figurant dans votre registre des activités de traitement (RAT), documentez :
- Finalité : Quelle est la finalité spécifique de ce traitement ?
- Base juridique : Quelle base de l'Article 6 s'applique ? Citez la lettre précise (a) à (f).
- Nécessité : Pourquoi ces données spécifiques sont-elles nécessaires pour atteindre la finalité ?
- Catégories de données : Quelles catégories spécifiques de données à caractÚre personnel sont concernées ?
- Destinataires : Qui a accÚs à ces données ou les reçoit ?
- Durée de conservation : Combien de temps les données sont-elles conservées et pourquoi ?
- Mécanisme d'exercice des droits : Comment les personnes concernées peuvent-elles exercer leurs droits ?
- Enregistrements de consentement : En cas de consentement â comment et quand a-t-il Ă©tĂ© obtenu ? Conservez la preuve.
- RĂ©fĂ©rence contractuelle : En cas de contrat â quel contrat ou quelle commande justifie chaque donnĂ©e ?
- Citation lĂ©gale : En cas d'obligation lĂ©gale â quelle loi ou rĂ©glementation spĂ©cifique ?
- Document AIL : En cas d'intĂ©rĂȘts lĂ©gitimes â joignez l'Analyse d'IntĂ©rĂȘts LĂ©gitimes complĂ©tĂ©e en trois Ă©tapes.
Erreurs fréquentes
Appliquer plusieurs bases Ă la mĂȘme activitĂ© de traitement. Choisissez-en une et documentez-la. Il n'est pas permis de changer de base rĂ©trospectivement (par exemple, passer du consentement aux intĂ©rĂȘts lĂ©gitimes lorsqu'une personne retire son consentement).
Supposer que le contrat couvre les utilisations secondaires. Le contrat ne couvre que ce qui est réellement nécessaire à la fourniture du service convenu. Le marketing, les analyses croisées et le profilage requiÚrent des bases distinctes.
S'appuyer sur les intĂ©rĂȘts lĂ©gitimes sans rĂ©aliser d'AIL. En cas de contestation par une personne concernĂ©e (opposition en vertu de l'Article 21) ou par une autoritĂ© de contrĂŽle, vous devez produire l'AIL documentĂ©e. Une affirmation non documentĂ©e d'intĂ©rĂȘts lĂ©gitimes ne rĂ©sistera pas Ă un contrĂŽle.
Utiliser le consentement lorsqu'une obligation légale s'applique déjà . Si la loi vous impose de conserver des données, vous n'avez pas besoin du consentement et ne devriez pas le solliciter. Présenter une obligation légale comme facultative fragilise votre posture de conformité.
Omettre de prendre en compte l'Article 9 lors du traitement de données sensibles. Une base juridique au titre de l'Article 6 seule est insuffisante pour les données de santé, les données génétiques, les données biométriques ou les autres catégories visées à l'Article 9.
Ignorer les oppositions des personnes concernĂ©es. Lorsqu'une personne s'oppose Ă un traitement fondĂ© sur les intĂ©rĂȘts lĂ©gitimes (Article 21), vous devez cesser le traitement Ă moins de pouvoir dĂ©montrer que vos motifs lĂ©gitimes prĂ©valent sur son opposition. Documentez votre rĂ©ponse Ă chaque opposition.
Points clés à retenir
- Une base juridique par finalité de traitement. Identifiez-la avant de commencer et documentez-la.
- Le consentement doit ĂȘtre libre, spĂ©cifique, Ă©clairĂ© et univoque. Les cases prĂ©-cochĂ©es et les finalitĂ©s regroupĂ©es sont invalides.
- Le contrat ne couvre que le traitement rĂ©ellement nĂ©cessaire Ă l'exĂ©cution du contrat â non le marketing ou les analyses.
- L'obligation légale requiert une disposition légale identifiable qui impose le traitement.
- Les intĂ©rĂȘts vitaux sont d'application Ă©troite : la vie, la mort ou la sĂ©curitĂ© physique, gĂ©nĂ©ralement lorsque le consentement est impossible.
- La mission d'intĂ©rĂȘt public est limitĂ©e aux autoritĂ©s publiques exerçant des fonctions lĂ©gales.
- Les intĂ©rĂȘts lĂ©gitimes sont flexibles mais requiĂšrent une Analyse d'IntĂ©rĂȘts LĂ©gitimes en trois Ă©tapes documentĂ©e.
- Les données sensibles requiÚrent à la fois une base juridique (Article 6) et une condition au titre de l'Article 9(2).
- Si vous ne pouvez pas identifier une base juridique, vous ne devez pas traiter les donnĂ©es. Un traitement illicite doit ĂȘtre interrompu et les donnĂ©es supprimĂ©es.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez votre Délégué à la Protection des Données, votre conseil juridique ou un spécialiste de la conformité RGPD pour obtenir des conseils adaptés à votre organisme.
Key takeaways: RGPD Article 6 : Les Six Bases Juridiques du Traitement de Données Personnelles
This article covers: La loi : RGPD Article 6(1), Les six bases juridiques, Données sensibles : la condition supplémentaire.
- La loi : RGPD Article 6(1)
- Les six bases juridiques
- Données sensibles : la condition supplémentaire
- Arbre de décision : choisir votre base juridique
- Liste de contrÎle pour votre registre des activités de traitement (RAT)
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing â 2 minutes, every Thursday.