Lexique > Base légale

Lexique IT

Base légale

Tout traitement de données à caractère personnel doit être licite afin d’être mis en œuvre dans les conditions consacrées par le RGPD et la loi Informatique et Libertés.

Or, pour être licite, le traitement de données à caractère personnel doit être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement juridiquement prévu par la loi, soit dans le RGPD soit dans une autre disposition du droit internet ou du droit de l’Union européenne.

Ce fondement juridique est alors appelé la base légale du traitement des données.

Il existe six bases légales permettant le traitement de données à caractère personnel :

  • Le consentement ;
  • Le contrat ;
  • L’obligation légale ;
  • La mission d’intérêt public ;
  • L’intérêt légitime ;
  • La sauvegarde des intérêts vitaux.

La base légale est définie en fonction de la finalité du traitement des données. Ainsi, si un même traitement poursuit plusieurs finalités, chaque finalité disposera d’une base légale éventuellement distincte. En revanche, il ne peut exister qu’une base légale par finalité du traitement des données.

Chaque base légale doit être déterminée avec attention par le responsable du traitement en fonction de son adéquation à la finalité du traitement ou des éventuelles obligations légales existantes.

Les personnes concernées doivent être informées par le responsable du traitement de la base légale du traitement des données à caractère personnel les concernant.

La base légale d’un traitement doit également être renseignée dans le registre des traitements tenu par le responsable du traitement.

Point RGPD

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

  1. a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
  2. b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
  3. c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
  4. d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
  5. e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  6. f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (…)

Article 6, paragraphe 1 du RGPD

Point jurisprudence

L’autorité de contrôle slovène rappelle que chaque traitement de données à caractère personnel doit disposer d’une base légale. Plus spécifiquement dans le contexte d’une situation de responsabilité conjointe, elle indique que « chacun des responsables du traitement doit fournir une base légale appropriée ».

Informacijski pooblaščenec, 18 décembre 2020, n°07121-1/2020/2281

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.