Le RGPD impose aux organismes de fonder chacun de leurs traitements de données sur un fondement de licéité. Six sont listés en son article 6. Mais a quoi correspondent-ils ?
Pourquoi sélectionner un fondement de licéité ?
Selon le Règlement Général sur la Protection des Données (RGPD), tout traitement de données personnelles doit se fonder sur un des six fondements qu’il prévoit en son article 6.
L’objectif poursuivi par cet article est double : il prévoit des cas dans lesquels les données d’un individu, dit « personne concernée », pourront être traitées sans son aval, tout en imposant dans le même temps aux organismes de devoir, dans certains cas, recueillir le consentement de la personne concernée.
Qui plus est, sans fondement déterminé, ou s’il ne respecte pas le fondement sur lequel il est censé se fonder, un traitement sera considéré comme illicite, et l’organisme le mettant en oeuvre sera ainsi passible de sanctions administratives.
Les six fondements de licéité
Article 6 – Licéité du traitement
1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le consentement de la personne concernée
Le consentement est un des fondements de licéité pouvant fonder un traitement : il implique que le traitement peut être mis en oeuvre suite à l’obtention de l’accord de la personne concernée.
Exemples :
- une personne accepte l’utilisation de son adresse e-mail pour l’envoi de newsletters ;
- un site web demande l’autorisation d’installer des cookies non essentiels.
Ce fondement est le seul possible pour la mise en oeuvre de certains traitements de données pour lesquels la CNIL a publié des lignes directrices ou recommandations.
Il ne sera que peu fréquemment choisi par les organismes, dans un premier temps, car il laisse l’opportunité aux personnes concernées de refuser la mise en oeuvre du traitement.
L’exécution d’un contrat
Ce fondement permettra de traiter les données d’une personne sans demander son accord : il faudra cependant avoir signé au préalable un contrat avec la personne concernée, et que le traitement soit mis en oeuvre uniquement pour respecter les obligations contractuelles découlant du contrat.
Exemples de traitement mis en oeuvre dans le cadre d’un contrat :
- récolte et utilisation des coordonnées bancaires pour payer un salarié (contrat de travail) ;
- récolte de l’adresse postale et des coordonnées de contact pour une livraison (contrat de vente ou de livraison).
Exemples de traitement n’entrant pas dans le cadre d’un contrat :
- l’analyse de la productivité au travail d’un salarié (cela n’est pas strictement nécessaire pour que les parties respectent leurs obligations) ;
- la récolte de la civilité dans un contrat de vente classique (jugé par la CJUE début 2025, il est nécessaire que la donnée présente un intérêt).
A noter que ce fondement s’applique aussi aux mesures précontractuelles : la récolte des informations d’un prospect en préparation de la signature d’un contrat se base sur ce fondement de licéité, et ne nécessite ainsi pas la récolte du consentement du prospect.
Le respect d’une obligation légale
Lorsqu’un traitement des données est prévu par la loi, ou strictement nécessaire pour répondre à une obligation légale, les organismes peuvent le mettre en oeuvre sans l’accord de la personne concernée, et sans que celle-ci ne puisse s’y opposer.
Exemples :
- déclarations des ressources humaines auprès des organismes sociaux (paie, embauche, départ à la retraite, …) ;
- obligation de vérification des bulletins n°3 du casier judiciaire pour les organismes encadrant des mineurs.
La sauvegarde des intérêts vitaux
Ce fondement sera choisi lorsque le traitement de la donnée sera nécessaire pour préserver la vie ou la santé de la personne concernée ou d’un tiers. Il permet ainsi à certains organismes de pouvoir récolter rapidement, et sans consentement, des données de santé.
Exemples :
- médecin-urgentiste recueillant des informations sur l’état de santé d’une personne ou ses antécédents ;
- récolte du groupe sanguin lors d’un besoin urgent de perfusion / transfusion.
Ce fondement est ainsi rarement choisi par les organismes du secteur privé, mais fréquemment rencontré auprès des professionnels libéraux de santé, ou les centres hospitaliers.
La mission de service public
Ce fondement sera choisi par les établissements publics, administrations, et par certains organismes reconnus d’utilité publique ou exerçant une mission de service public.
Il s’agit ici pour ces organismes de pouvoir recueillir et traiter les données de citoyens français dans le cadre d’une activité du ressort de l’Etat, des collectivités territoriales, des administrations et établissements publics, sans avoir à recueillir préalablement leur autorisation.
Exemples :
- état-civil en mairie ;
- inscription et suivi des élèves dans une école publique.
Il sera possible aux personnes concernées ou leurs représentants légaux, dans certains cas, de s’opposer à la mise en oeuvre de ces traitements. Ces cas sont habituellement encadrés par la loi.
L’intérêt légitime du responsable du traitement
Fondement fourre-tout pour les organismes ne pouvant se baser sur les précédents fondements, et ne souhaitant pas récolter le consentement des personnes (qui risqueraient de refuser le traitement), il s’agit ici pour l’organisme de justifier que ses propres intérêts sont supérieurs à ceux de la personne concernée à ce que la donnée ne soit pas traitée.
Lorsqu’une personne concernée prend connaissance de ce type de traitements, elle peut toujours s’y opposer, en justifiant notamment de ses propres intérêts à ce que le traitement cesse.
Exemples :
- une entreprise collectant des données clients afin d’améliorer ses services ou l’expérience client ;
- vidéosurveillance des locaux d’un établissement.
La justification devra être conservée par l’organisme et sera apprécia librement par la CNIL en cas de contrôle.
Il est donc nécessaire de ne choisir ce fondement que lorsqu’il est possible de développer une argumentation solide.
Vous souhaitez savoir quels fondements régissent vos traitements de données ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.