Les bases légales d’un traitement de donnée

Une Mythologie Collective nous fait tous croire que pour chaque traitement de données personnelles dans une entreprise, le responsable de traitement doit obtenir le consentement a priori de la personne concernée. Cela signifierait donc que le consentement serait la base légale unique pour réaliser un traitement. Et bien ce n’est pas le cas !

Les 6 bases légales d’un traitement de données à caractère personnel

La base légale d’un traitement est : “ce qui autorise la mise en oeuvre de celui-ci”, autrement dit ce qui donne la possibilité de traiter des données à caractère personnel. Le RGPD à prévu 6 bases légales.

Sauver la vie d’une personne

La première base légale est: la sauvegarde des intérêts vitaux de la personne concernée ou d’un autre personne. Dans ce cas le consentement de la personne ne sera pas nécessaire. Il s’agit là d’un cas spécifique. On a toujours le droit de traiter des données personnelles quand il s’agit de Sauver Quelqu’un

Proposer un contrat….y compris un devis….!

La seconde base légale est le contrat, mais le traitement doit être objectivement nécessaire à l’exécution de celui-ci. Ce sera également le cas lorsqu’il existe une relation pré-contractuelle ou contractuelle entre la personne concernée et l’organisme et ce contrat devra être valide au regard du droit applicable.

L’obligation légale …mais aussi l’intérêt public

La troisième base légale est une obligation légale, c’est-à-dire lorsqu’il existe une législation nationale ou européenne imposant le traitement. Néanmoins l’obligation de nécessité est toujours nécessaire et cette obligation légale doit répondre à 4 critères : être définie par le droit européen ou national ; imposer une obligation impérative de traiter des données ; définir clairement les finalités et s’imposer au responsable de traitement.

La quatrième base légale repose sur l’intérêt public, c’est-à-dire, que le traitement est nécessaire à l’exécution à une de ces missions ou qu’il relève de l’exercice de l’autorité publique dont est investi le responsable de traitement.

L’intérêt Légitime

La cinquième base légale d’un traitement est s’il repose sur l’intérêt légitime du responsable de traitement de l’exécuter sauf dans le cas où les intérêts et libertés fondamentales de la personnes ne prévalent, par exemple pour un enfant. Nous retrouver sous cette base les traitements tels que :
– l’envoi d’information sur des produits connexes à une vente réalisée avec un client (et non pas un prospect)
– les informations de prévention envoyées par les assureurs à leurs clients
– ….

Et finalement ….LE CONSENTEMENT

Et finalement : le recueil du consentement de la personne concernée.

Cette base légale est choisie, évidemment, quand aucun des 5 autres ne s’applique.
Dans ce cas pour pouvoir réaliser un traitement de données, le responsable de traitement devra obtenir en amont l’accord de la ou des personnes concernées. Il existe différent moyen d’obtenir ce consentement :
– Un formulaire sur un site
– L’échange de cartes de visites sur un salon
– L’achat de fichiers de consentement OptIn
– ….

Le consentement n’est donc pas l’unique base légale pour réaliser un traitement de données même si c’est celui auxquels tout le monde pense aujourd’hui.
Il faut donc s’interroger sur son traitement est voir sur quelle base légale il s’appuie avant de le réaliser.

Choisir la bonne base légale est primordial pour la sécurité juridique de la société, mais aussi pour savoir comment gérer les droits ou demandes des personnes. Mais ça…c’est un autre sujet que nous aborderons plus tard.