Comment choisir la base légale d’un traitement ? Cas pratiques avec certains traitements mis en œuvre par la CNIL
La détermination de la base légale applicable à un traitement de données doit faire l’objet d’une attention particulière de la part du responsable du traitement. Afin d’aider les organismes dans cette opération, et en particulier les autorités publiques, la CNIL illustre la démarche qu’elle a elle-même retenue dans le cadre de l’élaboration de son registre des activités de traitements.
Le choix de la base légale est une opération décisive, qui doit intervenir avant tout début de mise en œuvre du traitement des données. Il peut en outre s’agir d’une opération délicate : si plusieurs bases légales peuvent s’avérer appropriées pour une même finalité, une seule doit pourtant être retenue, la plus appropriée au cas d’espèce. Afin d’accompagner les organismes dans cette démarche, la CNIL met à disposition plusieurs contenus sur son site internet, explicitant les règles applicables en matière de base légale.
Une illustration plus concrète, sur des traitements de données effectivement mis en œuvre, peut également faciliter cette détermination des bases légales. C’est pourquoi la CNIL illustre la démarche qu’elle a elle-même retenue sur certains des traitements de données qu’elle met en œuvre afin d’aider les organismes, et tout particulièrement les autorités publiques, à choisir les bases légales autorisant la mise en œuvre de leurs traitements de données.
Cette démarche ne constitue en aucun cas un modèle imposé. Elle n’a pas de valeur prescriptive pour les responsables du traitement, qui doivent rechercher la solution la plus appropriée à leur propre situation.
Consulter le registre de la CNIL
A titre général, la CNIL a suivi le raisonnement suivant :
- La CNIL met en œuvre de nombreux traitements « métier », tournés vers ses usagers et nécessaires à l’exécution de ses missions telles que définies par les textes applicables. Elle choisit donc la base légale de la mission d’intérêt public pour fonder ces traitements.
- D’autres traitements mis en œuvre ne sont pas directement nécessaires à l’exercice de ces missions d’intérêt public mais sont rendus obligatoires par différentes lois applicables dans le cadre de son activité (par exemple, certains traitements liés à la gestion administrative de ses personnels). L’obligation légale est retenue pour ces traitements.
- Certains traitements sont sans rapport particulier avec les spécificités des missions d’intérêt public confiées à la CNIL et ne sont pas imposés par des dispositions légales, même s’ils sont mis en œuvre dans le cadre de ses missions (par exemple, certains traitements de gestion documentaire ou d’information interne). Dès lors qu’ils respectent certaines conditions, un intérêt légitime de la CNIL peut en constituer la base légale.
- Pour un traitement bien particulier, la CNIL se fonde enfin sur la base légale du contrat.
- En revanche, la CNIL ne fonde aucun de ses traitements sur la sauvegarde des intérêts vitaux ni sur le consentement, quand bien même les données sont collectées avec l’accord des personnes concernées.