Pas de base juridique, pas de traitement
Le RGPD est parfaitement clair sur ce point : vous ne pouvez traiter des données personnelles que si vous disposez d’une base juridique valable. L’article 6 du RGPD vous donne six options. Aucune ne s’applique ? Alors vous ne pouvez tout simplement pas traiter les données.
Cela semble strict, mais en pratique, c’est tout à fait gérable. La plupart des PME n’utilisent que trois ou quatre bases juridiques. Nous les passons toutes en revue ci-dessous, avec des exemples concrets.
Les 6 bases juridiques en résumé
1. Consentement
Quand : une personne vous donne son consentement libre, spécifique et univoque.
Exemple : un visiteur de votre site s’inscrit à votre newsletter. Vous ne placez des cookies marketing qu’après un clic sur “accepter.”
Attention : le consentement doit être véritablement libre. Une case pré-cochée ne compte pas. La personne concernée peut retirer son consentement à tout moment, après quoi vous devez immédiatement cesser ce traitement. Cela fait du consentement une base fragile.
2. Exécution d’un contrat
Quand : le traitement est nécessaire pour exécuter un contrat ou pour prendre des mesures à la demande de la personne avant la conclusion d’un contrat.
Exemple : un client passe une commande dans votre boutique en ligne. Vous avez besoin de son nom, adresse et coordonnées de paiement pour traiter et livrer la commande.
Attention : cela ne couvre que les traitements réellement nécessaires au contrat. Expédier la commande ? Oui. Ajouter l’email du client à votre liste marketing ? Non.
3. Obligation légale
Quand : la loi vous oblige à traiter ou conserver certaines données.
Exemple : votre comptabilité. Le fisc vous oblige à conserver les factures pendant 7 ans, y compris les données clients. Votre administration des salaires contient des numéros d’identification nationaux parce que la loi l’exige.
Attention : vous ne pouvez invoquer qu’une obligation légale concrète et spécifique. “Cela me semblait judicieux” n’est pas une obligation légale.
4. Intérêt vital
Quand : le traitement est nécessaire pour protéger la vie d’une personne.
Exemple : un visiteur dans vos locaux fait un arrêt cardiaque et vous partagez ses informations médicales avec les secours.
En pratique, cette base est rarement pertinente pour les PME.
5. Intérêt public ou autorité publique
Quand : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
En tant que PME, vous n’aurez presque jamais besoin de cette base. C’est le domaine des pouvoirs publics.
6. Intérêt légitime
Quand : vous avez un intérêt légitime qui l’emporte sur les intérêts de la personne concernée en matière de vie privée.
Exemple : vous analysez les statistiques de votre site web. Ou vous installez des caméras pour la prévention des cambriolages. Ou vous envoyez à un client existant un email sur un produit similaire (soft opt-in).
Attention : vous devez effectuer une mise en balance des intérêts. Votre intérêt doit l’emporter sur l’impact sur la vie privée de la personne concernée. Documentez cette évaluation.
Les quatre bases les plus utilisées par les PME
| Traitement | Base juridique |
|---|---|
| Envoi d’une newsletter | Consentement |
| Cookies marketing | Consentement |
| Traitement d’une commande | Contrat |
| Établissement d’un devis | Contrat |
| Conservation des factures (7 ans) | Obligation légale |
| Administration des salaires | Obligation légale |
| Analytics web | Intérêt légitime |
| Sécurité informatique/journalisation | Intérêt légitime |
L’erreur la plus courante : demander le consentement pour tout
Beaucoup de dirigeants de PME pensent : “si je demande le consentement pour tout, je suis en règle.” C’est un malentendu qui peut vous causer des problèmes.
Pourquoi ? Parce que le consentement peut être retiré à tout moment. Si un client retire son consentement pour un traitement pour lequel vous aviez une meilleure base (comme le contrat ou l’obligation légale), vous devez tout de même arrêter.
Exemple : vous demandez le consentement pour mettre les coordonnées du client sur une facture. Le client retire son consentement. Problème : le fisc vous oblige à conserver ces données. Si vous aviez choisi “obligation légale” dès le départ, il n’y aurait eu aucun souci.
La règle d’or : n’utilisez le consentement que lorsqu’aucune autre base n’est disponible. Et si vous le demandez, assurez-vous que le retrait soit aussi simple que l’octroi.
Comment documenter vos bases juridiques ?
- Registre des traitements - notez la base juridique par activité de traitement
- Politique de confidentialité - indiquez la base par finalité de traitement
- Mise en balance des intérêts - pour chaque traitement fondé sur l’intérêt légitime, rédigez une brève évaluation
Conseil : choisissez votre base juridique avant de commencer le traitement, pas après coup. Chercher rétroactivement une base qui correspond à ce que vous faites déjà n’est pas conforme au RGPD, et c’est exactement ce que les autorités de contrôle vérifient lors des inspections.
GDPRWise vous aide a choisir la bonne base juridique par traitement et documente automatiquement le tout dans votre registre des traitements et votre politique de confidentialite.