Skip to Content
RGPDPartie 4 — Les bases légales4.1 — Une base par finalité

Chapitre 4.1 — Une base par finalité

⏱️ TL;DR — L’article 6 pose une règle sans exception : tout traitement de données personnelles doit reposer sur une des six bases légales. Pas de base = traitement illicite, point. Cette base se choisit par finalité (une finalité, une base), avant de commencer à traiter, et elle n’est pas interchangeable après coup. Les six bases sont : consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime. Contre-intuition capitale : le consentement n’est pas le défaut — c’est souvent la base la moins adaptée.

🎯 Objectifs

  • Comprendre que licéité = base légale (art. 6), sans quoi rien n’est permis.
  • Raisonner finalité par finalité pour choisir une base.
  • Connaître les six bases et savoir laquelle est le bon réflexe selon le contexte.
  • Dérouler un arbre de décision « quelle base pour ma finalité ? ».
  • Retenir qu’on fixe la base avant le traitement et qu’on ne la remplace pas après.

La règle : pas de base, pas de traitement

Le principe de licéité (art. 5.1.a, vu en Partie 1) a un pendant opérationnel à l’article 6 : un traitement n’est licite que s’il repose sur au moins une des six bases listées. Ce n’est pas une formalité qu’on remplit après : c’est la question préalable. Avant d’écrire la moindre ligne de code qui collecte ou manipule des données personnelles, tu dois pouvoir répondre à : « Sur quelle base je fais ça ? »

Trois idées à ancrer tout de suite :

  1. Une base par finalité. La base n’est pas attachée à une donnée ni à une table, mais à un pourquoi. « Gérer le compte élève », « envoyer la newsletter », « prévenir la fraude » sont trois finalités distinctes → potentiellement trois bases différentes, même si elles partagent l’adresse e-mail.
  2. Avant, pas après. La base se détermine au moment de la conception du traitement et s’inscrit dans le registre (Partie 11). On ne « trouve » pas une base a posteriori pour justifier ce qu’on fait déjà.
  3. Non interchangeable. Si tu as annoncé traiter sur la base du consentement et que la personne retire son consentement, tu ne peux pas basculer discrètement sur l’intérêt légitime pour continuer. Ce point est si important qu’on lui consacre l’atelier du chapitre 4.5.

⚠️ Piège — Croire que « comme ce sont nos données clients, on a le droit ». Posséder une base de données ne crée aucune base légale. Chaque finalité doit se rattacher explicitement à l’une des six ; sinon le traitement est illicite, quel que soit le soin technique qu’on y met.

Les six bases légales (art. 6.1)

BaseArticleIdée en une phraseBon réflexe quand…
Consentement6.1.aLa personne a dit oui de façon libre et éclairée.Prospection, cookies non essentiels, données sensibles — quand la personne a un vrai choix.
Contrat6.1.bLe traitement est nécessaire pour exécuter un contrat avec la personne, ou des mesures précontractuelles.Créer et gérer un compte, livrer un service commandé, facturer.
Obligation légale6.1.cUne loi impose le traitement au responsable.Conserver des factures, transmettre des données au fisc, tenir la paie.
Intérêts vitaux6.1.dProtéger la vie d’une personne.Urgence médicale, sécurité physique — rare et exceptionnel.
Mission d’intérêt public6.1.eUne mission d’intérêt public confiée par un texte.Secteur public, éducation nationale, service public de la formation.
Intérêt légitime6.1.fUn intérêt légitime du responsable, mis en balance avec les droits des personnes.Sécurité du SI, anti-fraude, prospection B2B, mesure d’audience — après test documenté.

Les trois premières lignes (consentement, contrat, obligation légale) couvrent l’immense majorité des traitements d’un produit web ordinaire. L’intérêt légitime est la base souple mais exigeante (chapitre 4.4). Les intérêts vitaux et la mission d’intérêt public sont plus situées (chapitre 4.5).

💡 Réflexe — Ne commence jamais par « il me faut le consentement ». Commence par : « Ce traitement est-il imposé par une loi ? nécessaire à un contrat ? justifié par un intérêt légitime que je peux défendre ? » Le consentement n’arrive dans le raisonnement que si aucune autre base ne colle et que la personne dispose d’un choix réel.

Le consentement n’est pas le défaut

C’est la contre-intuition la plus rentable de tout le RGPD. On croit spontanément que « demander la permission » est la voie la plus respectueuse et la plus sûre. En réalité, le consentement est la base la plus fragile :

  • il est révocable à tout moment, et le retrait doit être aussi simple que le recueil — donc un traitement indispensable au service ne peut pas en dépendre ;
  • il n’est valable que si la personne a un vrai choix : conditionner l’accès à un service au consentement pour un traitement non nécessaire le rend non libre, donc invalide ;
  • il faut pouvoir en prouver l’existence (accountability), ce qui suppose une mécanique de traçabilité.

Demander le consentement là où le contrat ou l’obligation légale s’impose n’est pas un excès de prudence : c’est une faute. Tu fais miroiter un choix qui n’en est pas un (tu ne pourras pas respecter le « non »), ce qui est trompeur. On développe tout cela au chapitre 4.2.

🔒 Côté personne concernée — Multiplier les demandes de consentement crée une fatigue du oui : la personne clique « j’accepte » sans lire, l’inverse de l’objectif. Choisir la bonne base — et n’utiliser le consentement que là où il y a un vrai choix — respecte davantage l’utilisateur qu’un déluge de bannières.

Arbre de décision : quelle base pour ma finalité ?

Déroule cet arbre finalité par finalité. Prends la première base qui convient en descendant : l’ordre reflète le bon réflexe (on n’arrive au consentement qu’en dernier, quand aucune autre base ne s’applique et que la personne a un choix réel).

Deux garde-fous à garder en tête en parcourant l’arbre :

  • Données sensibles (santé, opinions, biométrie… art. 9) : l’arbre ci-dessus concerne l’article 6 ; les données sensibles exigent en plus une condition de l’article 9 (souvent le consentement explicite). On y revient en Partie 5.
  • Mineurs : la prudence s’impose, en particulier pour l’intérêt légitime (chapitre 4.4) et le consentement (âge du consentement numérique à 15 ans en France, art. 8).

📚 Le texte — L’article 6.1 énumère les six bases (points a à f). La règle « une finalité déterminée, explicite et légitime » vient du principe de limitation des finalités (art. 5.1.b). Ensemble, ils imposent : d’abord une finalité claire, ensuite une base qui la justifie.

✏️ Exercices

Exercice 1 — Une finalité, une base. Pour chaque finalité de FormaCampus, indique la base légale la plus adaptée : (a) créer le compte d’un stagiaire pour lui donner accès à ses cours ; (b) conserver les factures de formation ; (c) analyser les tentatives de connexion pour bloquer une attaque ; (d) envoyer une newsletter commerciale à des prospects.

✅ Solution

(a) Contrat (art. 6.1.b) — sans compte, pas de service ; le traitement est nécessaire à l’exécution du contrat de formation. (b) Obligation légale (art. 6.1.c) — la loi comptable et fiscale impose de conserver les factures. (c) Intérêt légitime (art. 6.1.f) — sécuriser le système d’information est un intérêt légitime, à documenter par une mise en balance. (d) Consentement (art. 6.1.a) — la prospection commerciale vers des prospects repose typiquement sur le consentement. Quatre finalités, quatre bases différentes, alors qu’elles manipulent parfois la même adresse e-mail.

Exercice 2 — Le mauvais réflexe. Un développeur ajoute une case « J’accepte que mes données soient utilisées » à l’inscription, obligatoire pour créer le compte élève. Qu’est-ce qui cloche ?

✅ Solution

Deux erreurs. D’abord, la mauvaise base : la création du compte relève du contrat (6.1.b), pas du consentement. Ensuite, le consentement recueilli est invalide : rendu obligatoire pour accéder au service, il n’est pas libre. Résultat : ni le consentement ne vaut, ni la bonne base (contrat) n’a été identifiée. Le bon réflexe : ne pas demander de consentement ici, et documenter le contrat comme base dans le registre.

Exercice 3 — Changer de base ? FormaCampus traite des logs de connexion sur la base de l’intérêt légitime. Une personne s’y oppose. Un dev propose : « On n’a qu’à dire que c’est du consentement, comme ça on redemandera. » Bonne idée ?

✅ Solution

Non. On ne change pas de base après coup pour contourner un droit exercé. La base a été fixée avant le traitement et annoncée dans les mentions ; en changer opportunément est trompeur et illicite. Face à une opposition sur un intérêt légitime, la bonne démarche est d’examiner l’opposition au cas par cas (chapitre 4.4), pas de requalifier le traitement. On approfondit ce piège du « changement de niveau » au chapitre 4.5.

🧠 Quiz de révision

1. Combien de bases légales l’article 6 prévoit-il, et lesquelles ?

Six : consentement (6.1.a), contrat (6.1.b), obligation légale (6.1.c), intérêts vitaux (6.1.d), mission d’intérêt public (6.1.e), intérêt légitime (6.1.f). Tout traitement doit reposer sur au moins une d’entre elles.

2. À quoi s’attache une base légale : à une donnée, une table, ou une finalité ?

À une finalité. On choisit une base par finalité. La même donnée (une adresse e-mail) peut relever de plusieurs bases selon l’usage : contrat pour le compte, consentement pour la newsletter.

3. Le consentement est-il la base par défaut ?

Non. C’est même souvent la moins adaptée : révocable à tout moment, invalide si le choix n’est pas réel, et à prouver. On ne l’utilise que lorsqu’aucune autre base ne convient et que la personne a un vrai choix.

4. Peut-on changer de base légale une fois le traitement lancé ?

Non, pas de manière opportuniste. La base est fixée avant le traitement et n’est pas interchangeable pour contourner un retrait de consentement ou une opposition.

5. Que se passe-t-il si un traitement ne repose sur aucune des six bases ?

Il est illicite (manquement au principe de licéité, art. 5.1.a, et à l’art. 6), quel que soit le soin technique apporté. La possession des données ne crée aucune base.


Chapitre suivant : Le consentement — les 4 qualités d’un consentement valable, le retrait aussi simple que le recueil, l’interdiction des cases pré-cochées et la preuve à conserver.

Last updated on