L'une des erreurs les plus fréquentes que nous détectons en accompagnant des entreprises dans leur mise en conformité avec le Règlement (UE) 2016/679 (RGPD) est la confusion entre les différentes bases juridiques du traitement. De nombreuses organisations recourent au consentement par réflexe, sans évaluer s'il existe une base plus solide, ou invoquent l'intérêt légitime sans avoir effectué le test de mise en balance requis. Ces deux situations peuvent entraîner des traitements illicites, avec les conséquences prévues à l'article 83 du RGPD.
Cet article analyse les six bases juridiques de l'article 6, paragraphe 1, du RGPD, expose quand chacune est applicable avec des exemples concrets et détaille le test de mise en balance en trois étapes qu'exigent l'Agence espagnole de protection des données (AEPD — Agencia Española de Protección de Datos) et le Comité européen de la protection des données (CEPD) pour fonder l'intérêt légitime.
Pourquoi choisir la bonne base juridique n'est pas une formalité bureaucratique
L'article 6, paragraphe 1, du RGPD établit que tout traitement de données à caractère personnel doit être couvert par au moins une base juridique valide. Sans base juridique, le traitement est illicite. De plus, la base juridique n'est pas interchangeable : si une entreprise a collecté le consentement pour un traitement donné et souhaite ensuite changer de base, elle doit procéder avec prudence, car dans de nombreux cas cela reviendrait à reconnaître soit que le consentement initial n'était pas nécessaire, soit que les données ont été traitées sans base valide pendant une certaine période.
En outre, le choix de la base juridique détermine les droits des personnes concernées qui sont applicables. Par exemple, le droit à la portabilité des données (art. 20 RGPD) n'existe que lorsque le traitement repose sur le consentement ou un contrat. Le droit spécifique d'opposition prévu à l'article 21, paragraphe 1 — distinct de celui applicable aux traitements à des fins de prospection commerciale — n'existe que lorsque le traitement repose sur l'intérêt légitime ou l'intérêt public. Choisir la mauvaise base n'est pas une formalité : cela conditionne le régime des droits des personnes concernées.
Les six bases juridiques de l'article 6, paragraphe 1, du RGPD
L'article 6, paragraphe 1, énumère de manière exhaustive les bases habilitantes. Il n'en existe pas d'autres au-delà de ces six :
| Lettre | Base juridique | Scénario typique | Droit d'opposition | Droit à la portabilité |
|---|---|---|---|---|
| a) | Consentement de la personne concernée | Newsletter marketing, cookies analytiques, publicité personnalisée | Non (mais le consentement peut être retiré) | Oui (art. 20 RGPD) |
| b) | Exécution d'un contrat ou mesures précontractuelles à la demande de la personne concernée | Gestion des commandes, création de compte, traitement de la paie | Non | Oui (art. 20 RGPD) |
| c) | Respect d'une obligation légale | Comptabilité et fiscalité, obligations anti-blanchiment, droit du travail | Non | Non |
| d) | Protection des intérêts vitaux de la personne concernée ou d'une autre personne | Communication de données de santé en cas d'urgence médicale | Non | Non |
| e) | Intérêt public ou exercice de l'autorité publique | Autorités publiques, universités, organismes d'intérêt général | Oui (art. 21, par. 1, RGPD) | Non |
| f) | Intérêts légitimes du responsable du traitement ou d'un tiers | Vidéosurveillance des locaux, prévention de la fraude, prospection commerciale auprès de clients existants | Oui (art. 21, par. 1, RGPD) | Non |
Base a) : le consentement et ses exigences strictes
Le consentement est, paradoxalement, la base juridique la plus fragile de l'article 6, paragraphe 1, bien qu'il soit le plus connu. L'article 7 du RGPD et le considérant 32 posent des conditions très précises : le consentement doit être libre, spécifique, éclairé et univoque. Il ne suffit pas que la personne concernée n'ait pas coché une case de désinscription ; un acte positif et affirmatif est requis.
Le consentement n'est pas libre lorsque :
- Son obtention est une condition d'accès à un service qui pourrait être fourni sans ce traitement (consentement lié ou bundled consent).
- Il existe un déséquilibre de pouvoir manifeste entre le responsable du traitement et la personne concernée (la relation employeur-employé est particulièrement sensible).
- Son retrait entraîne des conséquences disproportionnées pour la personne concernée.
En outre, le consentement peut être retiré à tout moment, aussi facilement qu'il a été donné (art. 7, par. 3, RGPD). Cela oblige à mettre en place des mécanismes de révocation techniques aussi accessibles que les mécanismes de collecte. Si obtenir le consentement nécessite un simple clic mais que sa révocation implique d'envoyer un courriel et d'attendre une réponse, le mécanisme ne satisfait pas au standard du RGPD.
Le consentement est la base appropriée lorsque le traitement ne peut pas être justifié par une base plus solide — par exemple, l'envoi de communications commerciales à des personnes qui ne sont pas des clients existants, ou l'utilisation de cookies non strictement nécessaires. Pour la plupart des traitements courants d'une entreprise, il existe généralement une base plus appropriée.
Base b) : le contrat — la base la plus sous-utilisée
L'article 6, paragraphe 1, point b), du RGPD couvre le traitement qui est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou à l'exécution de mesures précontractuelles prises à sa demande. Cette base couvre, sans qu'il soit nécessaire d'obtenir un consentement, toutes les données indispensables à la fourniture du service contracté.
La clé réside dans le terme nécessaire : le traitement doit être objectivement nécessaire à la finalité contractuelle, et non simplement utile ou pratique pour le responsable du traitement. L'AEPD et le CEPD (dans leurs lignes directrices sur la base contractuelle) ont souligné que cette base ne peut pas être invoquée pour des traitements qui vont au-delà du cœur du contrat, tels que l'élaboration de profils comportementaux ou la communication de données à des tiers à leurs propres fins.
Exemples clairs de traitements couverts par la base b) : gestion des commandes en commerce électronique, création et gestion de comptes utilisateurs, facturation, communication avec le client au sujet de la prestation du service, traitement de la paie et gestion de la relation de travail.
Base c) : l'obligation légale — la plus résistante aux contestations
Lorsqu'une disposition légale oblige le responsable du traitement à traiter certaines données, la base juridique est le respect d'une obligation légale (art. 6, par. 1, point c), RGPD). Cette base ne requiert pas le consentement de la personne concernée et ne peut pas être bloquée par elle via l'exercice du droit d'opposition.
Traitements courants relevant de cette base : conservation des factures pendant le délai fixé par la loi générale fiscale espagnole (Ley General Tributaria) (quatre ans), obligations de déclaration à l'Agence fiscale espagnole (modèle 347, retenues à la source, etc.), notification des accidents du travail à l'Autorité du travail, obligations de lutte contre le blanchiment des capitaux conformément à la Loi 10/2010, et communication aux forces de l'ordre lorsque la réglementation applicable l'impose.
Bases d) et e) : intérêts vitaux et intérêt public
La base d) — protection des intérêts vitaux — est réservée aux situations d'urgence dans lesquelles la personne concernée ne peut pas donner son consentement et où son intégrité physique ou celle d'un tiers est en jeu. Son application dans l'environnement ordinaire des entreprises est très restreinte.
La base e) — intérêt public ou exercice de l'autorité publique — s'applique principalement aux autorités publiques, aux organismes de droit public et, dans certains cas, aux entités privées exerçant des missions d'intérêt général reconnues légalement. Une entreprise privée ordinaire ne peut pas invoquer cette base de manière générique.
Base f) : l'intérêt légitime et le test de mise en balance en trois étapes
L'intérêt légitime du responsable du traitement ou d'un tiers (art. 6, par. 1, point f), RGPD) est la base la plus flexible, mais aussi celle qui exige la plus grande rigueur dans sa justification. Elle ne peut pas être invoquée par une formule générique dans la politique de confidentialité ; elle requiert une analyse documentée démontrant que la mise en balance entre l'intérêt du responsable et les droits de la personne concernée a été effectuée correctement.
Le considérant 47 du RGPD et les Lignes directrices 1/2024 du CEPD (qui actualisent l'avis 06/2014 du G29, WP217) articulent cette mise en balance en trois étapes successives, toutes obligatoires :
Étape 1 — Test de l'intérêt légitime : existe-t-il un intérêt réel et légitime ?
L'intérêt doit être réel (non spéculatif), présent (non futur ou hypothétique) et légitime (conforme à l'ordre juridique et aux valeurs du RGPD). Exemples reconnus par l'AEPD et le CEPD : prévention de la fraude, sécurité des réseaux et de l'information, prospection commerciale directe auprès de clients existants avec des produits similaires, vidéosurveillance pour la protection des locaux, communication de données au sein d'un groupe d'entreprises à des fins administratives internes.
Étape 2 — Test de nécessité : le traitement est-il nécessaire à cet intérêt ?
Le traitement n'est licite que s'il est nécessaire pour atteindre l'intérêt légitime identifié. Cela implique de vérifier qu'il n'existe pas de méthode alternative, également efficace, mais moins intrusive pour les droits de la personne concernée. Si le même objectif peut être atteint avec des données anonymisées ou pseudonymisées, ou avec un ensemble de données plus réduit, la base d'intérêt légitime ne résiste pas à cette étape.
Étape 3 — Test de mise en balance : l'intérêt légitime prévaut-il sur les droits de la personne concernée ?
C'est l'analyse centrale. Le responsable du traitement doit peser son intérêt légitime face aux intérêts, droits et libertés fondamentales de la personne concernée, en tenant compte :
- De la nature des données (notamment si elles constituent des catégories particulières).
- Des attentes raisonnables de la personne concernée dans le contexte de la relation (un client s'attend à recevoir des communications sur ses achats, pas sur ses habitudes de navigation sur d'autres sites).
- De l'impact potentiel du traitement (portée et gravité des préjudices possibles).
- Des garanties appliquées (chiffrement, pseudonymisation, restrictions d'accès, durées de conservation).
- De la possibilité d'exercer effectivement le droit d'opposition.
Si le résultat de l'analyse révèle que les droits de la personne concernée prévalent, le traitement ne peut pas être fondé sur l'intérêt légitime. L'organisation devra rechercher une autre base juridique — généralement le consentement — ou renoncer au traitement.
Chez Summum Consultoría, nous accompagnons les organisations dans leur mise en conformité au RGPD, notamment en rédigeant le test d'intérêt légitime documenté pour chaque traitement qui le requiert.
Consentement contre intérêt légitime : quand opter pour l'un ou l'autre
La confusion la plus fréquente en pratique oppose le consentement (base a) à l'intérêt légitime (base f). Le guide indicatif suivant aide à faire le bon choix :
- Utilisez le consentement lorsque le traitement n'est pas nécessaire à la relation contractuelle, n'est pas imposé par la loi, ne peut pas être justifié par l'intérêt légitime (parce que l'impact sur la personne concernée est élevé ou que ses attentes raisonnables vont à l'encontre du traitement) et que la personne concernée peut décider librement sans conséquences négatives sur le service qu'elle reçoit. Exemple : envoyer une newsletter à un visiteur qui n'est pas un client existant.
- Utilisez l'intérêt légitime lorsqu'il existe un intérêt réel et proportionné, que le traitement est nécessaire, que la personne concernée peut raisonnablement s'attendre à ce traitement dans le contexte de la relation, et que l'impact sur ses droits est limité ou compensé par des garanties adéquates. Exemple : informer les clients existants des nouveautés de produits du même type que ceux déjà achetés (avec la possibilité d'opposition active proposée dans chaque communication).
Une idée reçue fréquente est de croire que l'intérêt légitime est plus « commode » parce qu'il évite de recueillir le consentement. En réalité, l'intérêt légitime exige davantage de travail de documentation et est plus vulnérable aux contestations s'il n'est pas dûment fondé. Le consentement bien géré, dans les cas qui lui correspondent, est une base solide et transparente.
Exemples de base juridique par type de traitement
La liste suivante illustre comment appliquer l'article 6, paragraphe 1, du RGPD aux traitements courants d'une PME ou d'une entreprise de taille intermédiaire :
- Traitement de la paie et gestion de la relation de travail : bases b) (contrat de travail) et c) (obligations en matière de droit du travail et de sécurité sociale). Aucun consentement requis.
- Facturation et comptabilité : bases b) et c) (obligations fiscales). Aucun consentement requis.
- Service client relatif aux incidents liés au service contracté : base b). Aucun consentement requis.
- Vidéosurveillance des propres locaux : base f) (intérêt légitime à la sécurité des locaux et du personnel), sous réserve que le test de mise en balance soit positif. Une signalisation adéquate est requise.
- Envoi de newsletter à des abonnés qui ne sont pas des clients : base a) (consentement). Nécessite un opt-in actif et un mécanisme de désinscription immédiate.
- Prospection commerciale directe auprès de clients existants pour des produits similaires : base f) (intérêt légitime), conformément au considérant 47 du RGPD et à la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Nécessite de proposer le droit d'opposition dans chaque communication.
- Élaboration de profils comportementaux à des fins publicitaires : base a) (consentement), compte tenu des attentes élevées en matière de vie privée et de l'impact significatif sur les personnes concernées.
- Prévention de la fraude interne : base f) (intérêt légitime), avec des garanties proportionnées et des restrictions d'accès aux données.
- Communication de données de salariés aux mutuelles ou à l'INSS (sécurité sociale) : base c) (obligation légale en matière de sécurité sociale et de prévention des risques professionnels).
Comment documenter la base juridique : le registre des activités de traitement
L'article 30 du RGPD oblige les responsables du traitement à tenir un registre des activités de traitement (RAT). Parmi les informations qui doivent y figurer expressément se trouve la base juridique de chaque traitement (art. 30, par. 1, point b), RGPD). Ce registre est le premier document que l'AEPD demande lorsqu'elle ouvre une inspection ou une procédure d'investigation.
Pour les traitements fondés sur l'intérêt légitime, le RAT doit être accompagné de l'analyse de mise en balance documentée, afin d'établir qu'elle a été réalisée avant le début du traitement et non a posteriori à titre de justification réactive. La documentation préalable est, en pratique, la seule qui démontre une diligence proactive.
Si votre organisation ne dispose pas d'un registre des activités de traitement à jour ou n'a pas documenté la base juridique de chaque traitement, le service de mise en conformité au RGPD de Summum Consultoría offre un accompagnement complet pour les entreprises de Castille-et-León et des Îles Canaries : de la cartographie des traitements à la rédaction du RAT et des tests de mise en balance.
Questions fréquentes
Peut-on changer la base juridique d'un traitement déjà en cours ?
En principe, il n'est pas possible de changer la base juridique de manière rétroactive et sans en informer les personnes concernées. Le changement de base doit être justifié, compatible avec la finalité initiale du traitement (art. 6, par. 4, RGPD) et accompagné d'une mise à jour de l'information fournie aux personnes concernées. Si le changement implique une finalité incompatible avec la finalité initiale, le consentement de la personne concernée est requis, ou il doit exister une habilitation normative expresse. L'AEPD a sanctionné des entreprises qui avaient changé de base juridique de manière opaque ou sans en informer adéquatement les personnes concernées.
L'intérêt légitime peut-il être utilisé pour n'importe quel traitement commercial ?
Non. L'intérêt légitime exige de passer les trois étapes du test de mise en balance. En matière de prospection commerciale, le considérant 47 du RGPD reconnaît expressément la possibilité d'invoquer l'intérêt légitime pour des communications commerciales à des clients existants sur des produits ou services similaires. Mais il ne couvre pas, sans autre condition, l'envoi massif de publicités à des bases de données acquises auprès de tiers, l'élaboration de profils comportementaux à grande échelle ou la communication de données à des tiers à leurs propres fins commerciales.
Que se passe-t-il si ma politique de confidentialité indique une base juridique incorrecte ?
L'information fournie aux personnes concernées sur la base juridique est une exigence de l'article 13 du RGPD. Indiquer une base erronée constitue un manquement à l'obligation de transparence, qui peut faire l'objet de sanctions au titre de l'article 83, paragraphe 5, du RGPD, avec des amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total. Au-delà de la sanction, si la base indiquée ne correspond pas à la base réelle, le traitement dans son ensemble pourrait être considéré comme illicite. Vérifier périodiquement que les traitements réels correspondent à la base juridique déclarée fait partie de tout programme sérieux de conformité au RGPD.
Le consentement des salariés peut-il constituer une base valide pour traiter leurs données ?
En règle générale, non. Le CEPD et l'AEPD ont rappelé à maintes reprises que le consentement des salariés satisfait rarement à l'exigence d'être librement donné, compte tenu du déséquilibre de pouvoir inhérent à la relation de travail. Un salarié qui craint des représailles s'il refuse de donner son consentement ne le donne pas librement. C'est pourquoi les traitements de données des salariés doivent être fondés, selon le cas, sur la base b) (contrat de travail), c) (obligations légales en matière de droit du travail et de sécurité sociale) ou f) (intérêt légitime avec test de mise en balance). Le consentement n'est valide que dans des situations clairement volontaires, sans lien avec les conditions d'emploi.