- Le blog et les actualités de Witik
- Article 6 RGPD : bases légales et licéité du traitement
- 1 - Résumé de l'article
- 2 - Que dit l’Article 6 du RGPD sur la licéité du traitement ?
- 3 - Qu’est-ce que la licéité du traitement des données à caractère personnel ?
- 4 - Quelles sont les bases légales du traitement selon l’Article 6 RGPD ?
- 5 - Comment choisir la bonne base légale pour un traitement de données personnelles ?
- 6 - Quelles sont les conséquences du choix d’une base légale ?
- 7 - Quand un traitement initialement licite devient-il illicite ?
- 8 - Comment prouver la conformité à l’Article 6 RGPD au quotidien ?
- 9 - FAQ
Article 6 RGPD : comprendre la licéité du traitement et choisir la bonne base légale
:format(webp))
L'article 6 du RGPD est le socle sur lequel repose toute activité manipulant des données personnelles. Sans une base légale solide choisie parmi les six prévues par ce texte, votre traitement est tout simplement illégal.
Choisir (et documenter) la bonne base légale protège la personne concernée, sécurise le responsable du traitement et clarifie vos finalités.
Voici comment lire l’Article 6 RGPD de manière concrète et actionnable.
Résumé de l'article
L’Article 6 RGPD impose qu’un traitement de données à caractère personnel repose sur une base légale valide.
Il existe 6 bases (paragraphe 1, points a à f) : consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêts légitimes.
La base légale choisie influence vos obligations (information, preuves, gestion des droits, etc.).
Un traitement peut devenir illicite si les finalités changent, si le consentement est mal géré, ou si la minimisation n’est pas respectée.
La meilleure approche : choisir une base, la relier à une finalité, puis prouver ce choix dans la durée.
Que dit l’Article 6 du RGPD sur la licéité du traitement ?
L’Article 6 RGPD dit qu’un traitement n’est licite que s’il repose sur au moins une base légale prévue par le règlement. Sans base, le traitement est considéré comme illicite.
Concrètement, cela oblige le responsable du traitement à relier chaque usage de données personnelles à une justification précise (et à s’y tenir). Cette logique est au cœur de la protection des droits et libertés de la personne concernée.
Qu’est-ce que la licéité du traitement des données à caractère personnel ?
La licéité signifie que vos opérations sur les données à caractère personnel sont légalement fondées, loyales et alignées sur des finalités explicites. Autrement dit : vous ne traitez pas “par défaut”, vous traitez “par nécessité”.
Cette licéité s’apprécie autant au moment de la collecte que tout au long de la vie du traitement (évolution du service, nouveaux usages, nouvelles catégories de données, etc.).
Comment maintenir la licéité dans la durée ?
Vous maintenez la licéité si vous conservez une base légale valable et si vous limitez votre traitement à ce qui est nécessaire à la finalité. Cela implique notamment de ne pas collecter “au cas où”.
Exemple : si votre finalité est la livraison, demander la date de naissance de la personne concernée est rarement justifiable.
Les droits de la personne concernée peuvent-ils faire évoluer la licéité ?
Oui : la licéité est “vivante”, car certains droits (ex. retrait du consentement) ont un impact direct sur la possibilité de poursuivre un traitement. Le responsable doit donc anticiper ces cas et prévoir des mécanismes opérationnels.
Exemple : si votre traitement repose sur le consentement, vous devez être capable de le retirer aussi facilement qu’il a été donné.
Quelles sont les bases légales du traitement selon l’Article 6 RGPD ?
L’Article 6 RGPD liste 6 bases légales (paragraphe 1, points a à f) : vous devez en retenir au moins une par traitement, et être capable d’expliquer pourquoi elle s’applique.
Les bases ci-dessous ne sont pas des “options marketing” : elles s’utilisent en fonction de la situation réelle, de la finalité, et de la relation avec la personne concernée.
Le consentement (paragraphe 1, point a) suffit-il à rendre un traitement licite ?
Oui, si le consentement est libre, spécifique, éclairé et univoque. Sinon, il ne sécurise pas la licéité.
Exemple : une case précochée ou un “consentement” noyé dans des conditions générales ne correspond pas à l’exigence d’un acte positif clair.
Conseil Witik
Risque : s’appuyer sur le consentement “par réflexe” rend la conformité fragile (retraits, preuves difficiles, parcours utilisateurs incohérents).
Solution : standardisez une preuve de consentement (date, contexte, finalité, version du texte d’information) et reliez-la à votre registre de traitement. Witik peut vous aider à structurer cette traçabilité dans vos processus GRC.
Quand la base “exécution d’un contrat” est-elle la bonne (paragraphe 1, point b) ?
Elle s’applique quand le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée, ou à des mesures précontractuelles qu’elle demande.
Exemple : traiter l’adresse pour livrer un produit commandé, ou traiter un e-mail pour envoyer un accès à un service.
Que couvre la base “obligation légale” (paragraphe 1, point c) ?
Elle s’applique lorsque le traitement est nécessaire pour respecter une obligation prévue par le droit de l’Union ou le droit d’un État membre.
Exemple : certaines obligations fiscales ou réglementaires peuvent imposer de conserver des informations, même si la personne n’a pas “consenti”.
Dans quels cas invoquer la protection des intérêts vitaux (paragraphe 1, point d) ?
Cette base vise des situations d’urgence où le traitement est nécessaire pour protéger les intérêts vitaux d’une personne (ou d’une autre), notamment si elle est incapable de consentir.
Exemple : contexte médical urgent où la protection immédiate prime.
Qu’est-ce qu’une mission d’intérêt public (paragraphe 1, point e) ?
Le traitement est licite s’il est nécessaire à une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
Exemple : une administration qui traite des données pour exécuter ses missions officielles.
Comment utiliser les intérêts légitimes (paragraphe 1, point f) sans prendre de risque ?
Vous pouvez fonder le traitement sur un intérêt légitime si les droits et libertés de la personne concernée ne prévalent pas. Il faut donc raisonner en équilibre.
Exemple : certains traitements de sécurité, de prévention de fraude, ou d’amélioration du service peuvent être envisagés, à condition de cadrer clairement finalités, minimisation et information. Une analyse d'impact peut aider à objectiver le risque quand il est élevé.
Comment choisir la bonne base légale pour un traitement de données personnelles ?
Vous choisissez la base légale en partant de la finalité, puis en testant la base qui correspond réellement à la situation. Le bon choix est celui qui résiste à une question simple : “sans cette base, ce traitement est-il encore nécessaire et justifiable ?”
Pour éviter les erreurs, vérifiez ces points :
Finalités : sont-elles explicites, compréhensibles et stables ?
Nécessité : le traitement est-il proportionné à l’objectif ?
Relation : y a-t-il contrat, obligation, mission publique, ou un contexte de consentement ?
Droits : quels droits la personne concernée peut-elle exercer dans ce cadre ?
Preuves : pouvez-vous démontrer ce choix (responsabilisation / accountability) ?
Conseil Witik
Risque : décider la base légale “au feeling” conduit à des notices incohérentes, des durées de conservation mal alignées et des refus de droits difficiles à traiter.
Solution : formalisez une “fiche base légale” par traitement (finalité, base, catégories de données, durée, destinataires, mesures de sécurité). Witik peut servir de référentiel pour harmoniser ces décisions et faciliter les revues périodiques.
Quelles sont les conséquences du choix d’une base légale ?
Le choix de base légale change vos obligations et la façon dont la personne concernée peut interagir avec le traitement. Ce n’est pas neutre : cela structure la relation de confiance.
Comment la base légale influence-t-elle votre stratégie de traitement ?
Si la base est le consentement, votre processus doit permettre de recueillir, prouver et gérer les retraits. Si la base est l’exécution d’un contrat ou une obligation, vous ne demandez pas forcément de consentement, mais vous devez rester strictement dans le nécessaire.
Exemple : demander un consentement alors que la base réelle est contractuelle crée de la confusion (et fragilise l’information fournie).
Qu’arrive-t-il si la base légale est incorrecte ?
Si la base est inadaptée, vous vous exposez à des risques juridiques, opérationnels et réputationnels. Le RGPD prévoit notamment des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).
Au quotidien, un mauvais choix peut aussi obliger à arrêter le traitement, à supprimer des données personnelles, ou à revoir en urgence vos parcours et vos mentions d’information.
Quand un traitement initialement licite devient-il illicite ?
Un traitement peut devenir illicite si ses conditions de licéité ne sont plus respectées dans le temps (finalité qui dérive, données trop nombreuses, consentement non maîtrisé). La conformité n’est pas un “état”, c’est un maintien.
Voici des scénarios fréquents :
Changement de finalités du traitement sans nouvelle base valable.
Non-respect des conditions de consentement (extension du traitement au-delà de ce qui a été accepté).
Violation du principe de minimisation (collecte excessive, conservation trop longue).
Absence de revue régulière : vos pratiques ne suivent plus les exigences applicables.
Conseil Witik
Risque : laisser “vivre” un traitement sans revue transforme progressivement un traitement licite en traitement non conforme, souvent sans signal visible.
Solution : mettez en place une revue périodique (au moins annuelle) de chaque traitement : finalité, base légale, catégories de données, durées, sous-traitants, mesures de sécurité. Witik peut structurer cette revue comme un contrôle GRC récurrent.
Comment prouver la conformité à l’Article 6 RGPD au quotidien ?
Vous prouvez la conformité en étant capable d’expliquer, pour chaque traitement, “quelle base” et “pour quelles finalités”, et d’en conserver la preuve. L’Article 6 RGPD se gère autant par la documentation que par la technique.
Bonnes pratiques utiles :
Lier chaque traitement de données personnelles à une base (paragraphe 1, a à f).
Garder une preuve exploitable (ex. preuve de consentement, référence de l’obligation, logique d’intérêt légitime).
Aligner vos mentions d’information et vos parcours sur la base réelle.
S’assurer que le responsable et les équipes savent répondre aux demandes de la personne concernée.
FAQ
L’Article 6 RGPD impose-t-il le consentement dans tous les cas ?
Non. Le consentement n’est qu’une base parmi six : contrat, obligation légale, intérêts vitaux, mission d’intérêt public et intérêts légitimes peuvent aussi s’appliquer selon le traitement.
Peut-on changer de base légale après coup ?
Oui, mais ce n’est pas anodin : vous devez vérifier la cohérence avec les finalités, mettre à jour l’information fournie à la personne concernée et documenter ce changement.
Les intérêts légitimes suffisent-ils pour tout type de traitement ?
Non. Les intérêts légitimes exigent un équilibre avec les droits et libertés de la personne concernée ; ils ne doivent pas devenir une base “fourre-tout”.
:format(webp))
)
)