Le RGPD ne crée pas de hiérarchie entre les différentes bases légales. Par exemple, le consentement ne prévaut pas sur les autres bases légales. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement, au cas par cas.
Pour guider sa réflexion, le responsable de traitement peut se poser les questions suivantes :
-
Les textes imposent-ils ou excluent-ils une base légale spécifique ?
- Exemple de base légale imposée : dans le cas d’une prospection commerciale réalisée par voie électronique, le consentement est exigé par des dispositions légales spécifiques (code des postes et des communications électroniques).
- Exemple de base légale exclue : dans le cas d’une autorité publique, le RGPD interdit de fonder les traitements qu’elle met en œuvre dans l’exécution de ses missions sur son intérêt légitime.
Dans de tels cas, la détermination de la base légale du traitement est automatique ou facilitée.
-
Quel est le contexte général de mise en œuvre du traitement ?
Souvent, le contexte orientera vers certaines bases légales ou au contraire conduira à en écarter certaines, même s’il faut éviter tout automatisme.
On pourra notamment tenir compte :
- du type d’organisme (privé ou public, chargé ou non d’une mission de service public, etc.) ;
- du secteur d’activité (santé, ressources humaines, marketing, etc.) ;
- de l’objectif général poursuivi (commercial, intérêt général, etc.) ;
- du degré d’autonomie de l’organisme (les textes lui imposent-ils de mettre en œuvre le traitement de données ou le fait-il de sa propre initiative ?) ;
- du degré de maîtrise des personnes sur leurs propres données ;
- de l’existence ou non d’un cadre contractuel ;
- etc.
Par exemple :
- si le traitement est mis en œuvre dans le cadre d’une relation contractuelle entre une entreprise et ses clients, il y a lieu de s’orienter d’abord vers la base légale « contrat » ;
- si le traitement est imposé à l’organisme par des dispositions légales, la base juridique « obligation légale » doit être privilégiée ;
- si un organisme public souhaite mettre en œuvre un traitement dans le cadre de ses missions, la « mission d’intérêt public » constituera probablement la base légale la plus adaptée.
Attention : l’organisme doit se demander, à chaque fois, si le traitement est bel et bien « nécessaire » à la base juridique pressentie.
Par exemple :
- si le traitement, mis en œuvre dans le contexte d’un contrat entre l’organisme et une personne, va au-delà de ce qui est objectivement nécessaire à l’exécution de ce contrat et sert d’autres besoins propres à l’organisme, la base légale « contrat » ne pourra pas être retenue.
Cas pratique : le traitement des coordonnées postales d’une personne est nécessaire en cas de livraison d’un produit, mais la collecte de sa date de naissance n’est pas nécessaire à l’exécution de ce contrat. Le traitement de cette donnée peut poursuivre une autre finalité (des actions de fidélisation, par envoi de courriels aux dates d’anniversaire des clients, par exemple), qui doit dès lors se fonder sur une autre base légale (intérêt légitime ou consentement, par exemple).
- si le traitement répond à une obligation légale, l’organisme ne peut pas ajouter des données non nécessaires à la mise en œuvre de son obligation ni poursuivre d’autres objectifs que celle-ci.
Cas pratique : la tenue du registre de l’état civil est une obligation légale pour les communes. La diffusion de ces évènements familiaux, dans la presse ou sur tout autre support, va au-delà de cette obligation et doit donc être fondée sur une autre base légale (par exemple, le consentement des personnes concernées recueilli au moment de l’établissement de l’acte).
-
Les conditions propres à la base légale envisagée sont-elles remplies ?
Chaque base légale obéit à des conditions spécifiques. Lorsque l’organisme envisage de retenir une base en particulier, il doit vérifier que ces conditions sont remplies.
Par exemple :
- le consentement doit être libre, spécifique, éclairé et univoque pour être valablement recueilli et constituer dès lors la base légale du traitement. Si l’une de ces conditions n’est pas remplie, le consentement ne peut pas constituer la base légale du traitement.
- si le traitement porte une atteinte excessive aux droits et libertés des personnes, l’intérêt légitime ne pourra fonder légalement sa mise en œuvre.
Si les conditions propres à la base légale envisagée ne sont pas remplies, l’organisme doit, soit modifier les paramètres de son traitement de données pour parvenir à les respecter, soit rechercher une autre base légale.
En pratique, pour les traitements les plus courants, la méthodologie pour définir la base légale peut être prise en charge par la CNIL qui illustre, dans les référentiels qu’elle publie progressivement sur les principales catégories de traitements, les cas et les circonstances dans lesquels les bases légales peuvent être valides pour les responsables du traitement.