Lorsque l’on souhaite stocker des données à caractère personnel, le RGPD[1] impose qu’une base légale soit déclarée, c’est-à-dire que l’entreprise doit communiquer à la personne la raison qui autorise l’entreprise à stocker ces données.

La base légale peut être :

  • le consentement de la personne, c’est-à-dire que la personne donne son accord pour que ses données soient stockées ;
  • l’application d’un contrat, c’est-à-dire qu’un document écrit a été conclu entre l’entreprise et la personne, qui donne l’autorisation à l’entreprise de stocker les données ;
  • l’application de la réglementation[2], c’est-à-dire que la loi oblige l’entreprise à stocker les données :
  • l’exécution d’une mission d’intérêt public[3], principalement pour les autorités publiques pour les usagers ;
  • la sauvegarde des intérêts vitaux de la personne, ou d’un tiers ;
  • un intérêt légitime, c’est-à-dire, une nécessité « claire » et « précise » de l’entreprise.

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »

— RGPD, article 6, licéité du traitement

Cette dernière raison, l’intérêt légitime, est un peu particulière, car elle correspond à une nécessité de l’entreprise, mais ne doit pas, en même temps, être une atteinte aux droits et aux libertés de la personne. Il n’existe pas une liste exhaustive d’intérêts légitimes, mais la CNIL[4] en donne quelques exemples :

« Cette base légale peut par exemple être envisagée pour les traitements de données :
a) visant à garantir la sécurité du réseau et des informations ;
b) mis en œuvre à des fins de prévention de la fraude ;
c) nécessaires aux opérations de prospection commerciale auprès de clients d’une société ;
d) portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne. »

L’intérêt légitime doit être choisi uniquement lorsque d’autres bases légales ne sont pas appropriées.

Le choix de la base légale doit être étudié et correctement documenté. Ces informations font partie des informations à communiquer obligatoirement aux personnes lorsque leurs données à caractère personnel sont conservées.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. La CNIL a mis en ligne un document détaillant l’utilisation de la réglementation comme base légale. Voir « L’obligation légale : dans quels cas fonder un traitement sur cette base légale ? ».
  3. La CNIL a mis en ligne un document détaillant l’utilisation de la mission d’ordre public comme base légale. Voir « La mission d’intérêt public : dans quels cas fonder un traitement sur cette base légale ? ».
  4. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).