Quelles sont les 6 bases légales définies par l'Article 6 du RGPD ?

L'Article 6 définit : (1) le consentement, (2) l'exécution d'un contrat, (3) le respect d'une obligation légale, (4) la sauvegarde d'intérêts vitaux, (5) l'exécution d'une mission d'intérêt public, et (6) les intérêts légitimes du responsable du traitement. Chaque traitement de données personnelles doit reposer sur l'une de ces bases.

Comment prouver que le consentement a été recueilli valablement ?

L'entreprise doit conserver une preuve horodatée du consentement : logs de consentement (date, heure, version du formulaire, case cochée), copies des formulaires utilisés au moment du recueil. En cas de contrôle CNIL, cette preuve est obligatoire. Les outils de CMP (Consent Management Platform) facilitent cette documentation.

Quand peut-on invoquer l'intérêt légitime comme base légale ?

L'intérêt légitime (Art. 6.1.f) peut être invoqué si : (1) l'intérêt est réel et présent, (2) le traitement est nécessaire pour cet objectif, et (3) après un test de balance, les droits des personnes ne prévalent pas. Il ne peut pas être utilisé par les autorités publiques dans l'exercice de leurs missions. Un test documenté est fortement recommandé.

Peut-on changer de base légale en cours de traitement ?

Non. La base légale doit être déterminée avant de commencer le traitement et ne peut pas être changée a posteriori. Si la base légale initiale n'est plus valide, le traitement doit cesser ou un nouveau traitement doit être défini avec une nouvelle base légale et une nouvelle information des personnes concernées.

L'Article 6 s'applique-t-il aux données sensibles (santé, biométrie) ?

Non, pas seul. Pour les données sensibles (catégories particulières définies à l'Art. 9), il faut d'abord une base légale de l'Art. 6, PUIS une exception de l'Art. 9.2. Les deux conditions sont cumulatives. Par exemple : consentement explicite (Art. 9.2.a) + consentement simple (Art. 6.1.a) pour des données de santé.

ART. 6 RGPD

Comprendre l'Article 6 du RGPD

Q: Quelle est la sanction en cas de non-respect de l'Article 6 ?

Le traitement de données sans base légale valide constitue une violation grave du RGPD. La CNIL peut prononcer des amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. En 2023, Criteo a été sanctionné de 40M€ notamment pour défaut de base légale dans ses traitements publicitaires.

Les 6 bases légales pour le traitement des données personnelles — définitions, conditions, exemples et bonnes pratiques pour les PME françaises.

Scanner mon site Nos services RGPD

Qu'est-ce que l'Article 6 du RGPD ?

L'Article 6 du RGPD est le fondement de toute activité de traitement des données personnelles dans l'Union européenne. Il établit la liste exhaustive des 6 bases légales qui autorisent le traitement de données personnelles.

Toute organisation — qu'elle soit publique ou privée, grande ou petite — doit impérativement identifier une base légale valide avant de commencer à traiter des données. Sans base légale, le traitement est illégal et expose à des sanctions allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.

L'Article 6 joue également un rôle protecteur : en imposant une justification légale à chaque traitement, il garantit que les données ne sont pas collectées ou utilisées de manière arbitraire, renforçant ainsi la confiance du public.

25 mai 2018

Date d'entrée en vigueur

6 bases

Bases légales définies

20M€ / 4% CA

Amende maximale

Les 6 bases légales du traitement des données personnelles

01Art. 6.1.a

Consentement

La personne a donné son accord libre, spécifique, éclairé et univoque.

Ex : Newsletter, cookies publicitaires, prospection commerciale.

02Art. 6.1.b

Exécution d'un contrat

Le traitement est nécessaire à l'exécution d'un contrat auquel la personne est partie.

Ex : Livraison d'une commande, facturation, gestion RH.

03Art. 6.1.c

Obligation légale

Le traitement est imposé par une loi ou réglementation applicable.

Ex : Conservation des données fiscales, déclarations sociales.

04Art. 6.1.d

Intérêts vitaux

Le traitement est nécessaire à la sauvegarde des intérêts vitaux d'une personne.

Ex : Données médicales en cas d'accident grave ou d'urgence.

05Art. 6.1.e

Mission d'intérêt public

Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'autorité publique.

Ex : Données de recensement, services publics, recherche académique.

06Art. 6.1.f

Intérêts légitimes

Le traitement est nécessaire aux fins des intérêts légitimes du responsable ou d'un tiers, sauf si les droits fondamentaux prévalent.

Ex : Prévention de la fraude, sécurité informatique, prospection BtoB.

Le consentement RGPD : conditions et limites

Le consentement est souvent la première base légale à laquelle on pense, mais aussi la plus contraignante. Pour être valide au sens du RGPD, il doit réunir 6 conditions cumulatives :

Libre : aucune pression ou condition défavorable en cas de refus

Spécifique : distinct pour chaque finalité de traitement

Éclairé : information claire sur qui traite et pourquoi

Univoque : action positive explicite (case à cocher, pas pré-cochée)

Retirable : aussi simple à retirer qu'à donner, à tout moment

Documenté : l'entreprise doit conserver la preuve du consentement

Attention : Les cases pré-cochées, le silence, l'inaction ou les consentements groupés (opt-in général) ne sont pas des consentements valides au sens du RGPD. La CNIL sanctionne régulièrement ces pratiques.

Comment choisir la base légale adaptée ?

Le choix de la base légale doit être fait avant le début du traitement et documenté. Voici la méthode en 5 étapes :

Règle d'or : Ne pas chercher à cumuler plusieurs bases légales pour un même traitement. Choisir la base la plus naturellement adaptée à la relation avec la personne concernée.

5 erreurs fréquentes à éviter

❌Traiter des données sans avoir identifié de base légale

✅Choisir et documenter la base légale AVANT de démarrer le traitement

❌Cumuler plusieurs bases légales pour un même traitement

✅Sélectionner une seule base légale principale par finalité

❌Invoquer l'intérêt légitime sans réaliser de test de mise en balance

✅Conduire et documenter le test de balance intérêts légitimes / droits des personnes

❌Utiliser un consentement implicite ou pré-coché

✅Obtenir un consentement actif et positif via une case vide à cocher

❌Changer de base légale en cours de traitement

✅La base légale doit être fixée avant de débuter — tout changement = nouveau traitement

Documentation, transparence et conformité

L'Article 6 ne se limite pas à choisir une base légale : il impose aussi la transparence et la documentation. Chaque traitement doit être consigné dans le registre des traitements (Art. 30) avec sa base légale, et la politique de confidentialité doit informer les personnes de cette base légale.