L'Article 6 du RGPD est sans doute le plus important. Il dit, en substance, que vous ne pouvez pas traiter des données personnelles sans justification. Six bases légales sont prévues. En pratique, vous n'en utiliserez que quatre. Décodage.
Pourquoi cette notion est centrale
Tant que vous ne savez pas pourquoi vous avez le droit de traiter une donnée, vous ne pouvez pas la traiter. C'est le fondement de tout le RGPD. Et c'est ce qui distingue une démarche sérieuse d'un "registre rempli pour la forme".
1. Le consentement (Article 6.1.a)
Vous traitez les données parce que la personne a donné son accord.
Conditions pour qu'un consentement soit valide (Article 7) :
- Libre : pas de pression, pas de chantage
- Spécifique : pour une finalité précise (pas un "j'accepte tout")
- Éclairé : la personne sait à quoi elle consent
- Univoque : un acte positif explicite (pas de cases pré-cochées)
Exemples : inscription à une newsletter, dépôt d'un cookie marketing, capture d'un témoignage vidéo.
Attention : le consentement peut être retiré à tout moment. Vous devez prévoir une procédure simple pour cela. Si retirer son consentement est plus compliqué que de le donner, votre consentement est invalide.
2. L'exécution d'un contrat (Article 6.1.b)
Vous traitez les données parce que c'est nécessaire pour exécuter un contrat avec la personne (ou pour préparer un contrat à sa demande).
Exemples :
- Récupérer l'adresse de livraison d'un client (sans elle, pas de livraison possible)
- Créer un compte pour un utilisateur SaaS (sans email/mot de passe, pas de service)
- Émettre une facture (l'adresse de facturation est nécessaire au contrat de vente)
Test simple : si vous ne pouvez pas exécuter le contrat sans cette donnée, c'est probablement la bonne base légale.
3. L'obligation légale (Article 6.1.c)
Vous traitez les données parce qu'une loi vous l'impose. C'est la base légale la plus simple à justifier — il suffit de citer le texte.
Exemples :
- Conserver les factures 10 ans (article L.123-22 du Code de commerce)
- Déclarer un salarié à l'URSSAF (Code du travail)
- Conserver les bulletins de paie 5 ans
- Lutte anti-blanchiment pour les professions réglementées
Quand cette base s'applique, le consentement n'est pas requis : vous obéissez à la loi, point.
4. L'intérêt légitime (Article 6.1.f)
Vous traitez les données parce que vous avez un intérêt légitime, et que cet intérêt ne porte pas une atteinte disproportionnée aux droits de la personne.
C'est la base légale la plus flexible, mais aussi la plus fragile. Elle nécessite un test en 3 temps :
- L'intérêt est-il légitime ? (sécurité de l'entreprise, prévention de la fraude, prospection B2B…)
- Le traitement est-il nécessaire pour atteindre cet intérêt ? Existe-t-il une alternative moins intrusive ?
- Cet intérêt prime-t-il sur les droits et libertés de la personne ?
Exemples :
- Prospection commerciale en B2B (auprès d'adresses pro génériques)
- Vidéosurveillance dissuasive d'un local commercial
- Logs de connexion pour la sécurité informatique
- Détection de fraude
Attention : la personne a un droit d'opposition spécifique au traitement fondé sur l'intérêt légitime. Vous devez l'informer clairement et faciliter ce droit.
Les 2 bases que vous n'utiliserez (presque) jamais
- Sauvegarde des intérêts vitaux (Art. 6.1.d) : situation d'urgence vitale (urgences médicales, par exemple)
- Mission d'intérêt public (Art. 6.1.e) : services publics et organismes assimilés
Comment choisir la bonne base ?
Pour chaque traitement, posez-vous les questions dans cet ordre :
- Une loi m'oblige à traiter ces données ? → Base légale = Obligation légale
- Sinon, est-ce nécessaire à un contrat avec la personne ? → Exécution du contrat
- Sinon, ai-je un intérêt légitime équilibré avec ses droits ? → Intérêt légitime
- Sinon, je dois obtenir son consentement explicite → Consentement
Erreurs fréquentes
- Mettre "Consentement" partout (alors qu'un contrat suffit pour la facturation)
- Mettre "Intérêt légitime" sans avoir fait le test en 3 temps
- Cumuler plusieurs bases sur un même traitement (à éviter, sauf cas très précis)
- Ne pas documenter le choix dans le registre
La bonne base légale n'est pas une question philosophique : c'est une décision à documenter pour chaque traitement. Bien faite, elle vous protège juridiquement et clarifie vos obligations vis-à-vis des personnes.