Un traitement de données personnel peut être réalisé uniquement la personne en charge du traitement est en mesure de justifier la licéité de ce traitement, c’est-à-dire d’indiquer une raison valable qui autorise ce traitement. Dans le jargon, cette raison est appelée la « base légale » ou la « base juridique ».

Le RGPD[1] indique quelles peuvent être les raisons valables[2]. Elle peut être :

  • le consentement de la personne, c’est-à-dire que la personne donne son accord pour que ses données soient traitées ;
  • l’application d’un contrat, c’est-à-dire qu’un document écrit a été conclu avec la personne ;
  • l’application de la réglementation[3], c’est-à-dire que la loi oblige le responsable du traitement à traiter les données :
  • l’exécution d’une mission d’intérêt public[4], utilisées principalement par les autorités publiques ou les organismes en charge de fournir un service public ;
  • la sauvegarde des intérêts vitaux de la personne, ou d’un tiers ;
  • un intérêt légitime, c’est-à-dire une nécessité « claire » et « précise » de la personne en charge du traitement.

Cette dernière raison, l’intérêt légitime, est un peu particulière. Elle peut être utilisée uniquement si elle correspond à une nécessité « claire » et « précise » du responsable du traitement, sauf si « les intérêts ou les libertés et droits fondamentaux de la personne concernée » ne prévalent.

Il n’existe pas une liste exhaustive d’intérêts légitimes, mais la CNIL[5] propose quelques exemples de traitements qui pourraient recourir à cette base légale. Par exemple :

  • un traitement « visant à garantir la sécurité du réseau et des informations » ;
  • un traitement « mis en œuvre à des fins de prévention de la fraude » ;
  • un traitement « sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne ».

L’intérêt légitime doit être considéré avec attention et choisi uniquement lorsque d’autres bases légales ne sont pas appropriées.

L’utilisation de l’intérêt légitime comme base légale pour des traitements portant atteinte aux droits et libertés des personnes peut être sanctionné. Des sociétés ont d’ailleurs déjà été sanctionnées pour un tel manquement, notamment la société spécialisée dans la livraison de déjeuners d’affaires NESTOR, car la société utilisait l’intérêt légitime pour envoyer des e-mails de prospection[6].

Enfin, la base légale fait partie des informations à communiquer aux personnes. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD précise quelles sont les conditions valables pour justifier la licéité d’un traitement (source : RGPD, article 6).
  3. La CNIL a mis en ligne un document détaillant l’utilisation de la réglementation comme base légale. Voir « L’obligation légale : dans quels cas fonder un traitement sur cette base légale ? (cnil.fr) ».
  4. La CNIL a mis en ligne un document détaillant l’utilisation de la mission d’ordre public comme base légale. Voir « La mission d’intérêt public : dans quels cas fonder un traitement sur cette base légale ? (cnil.fr) ».
  5. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  6. La société Nestor a été sanctionnée par la CNIL, car la société utilisait l’intérêt légitime pour envoyer des e-mails de prospection (source : CNIL, SAN-2020-018, 8 décembre 2020, Nestor). Voir « La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires ».