Guide5 min de lecture10 juillet 2026

Article 6 RGPD : Comment choisir sa base légale de traitement

article 6 rgpd
L'article 6 du RGPD définit les six bases légales qui rendent licite le traitement de données à caractère personnel. Sans l'une de ces justifications juridiques, tout traitement de données est considéré comme illégal et passible de sanctions lourdes par la CNIL. Le responsable de traitement doit identifier et documenter la base légale appropriée avant même de collecter la moindre information. Pour un dirigeant de PME, comprendre cet article est crucial car il détermine non seulement la légalité de l'activité, mais aussi les droits des personnes concernées, comme le droit d'opposition ou le droit à l'effacement. Le choix ne se fait pas au hasard : il dépend de la finalité du traitement et de la nature des données collectées. Une erreur de qualification peut entraîner une nullité du traitement et des amendes administratives significatives, rendant la mise en conformité rigoureuse indispensable pour sécuriser la croissance de l'entreprise.

Le consentement : une base légale stricte et révocable

Le consentement est l'une des bases les plus connues de l'article 6, mais aussi l'une des plus exigeantes. Pour être valide, il doit être libre, spécifique, éclairé et univoque. Cela signifie que l'utilisateur doit effectuer un acte positif clair, comme cocher une case non pré-cochée. Le silence ou l'inaction ne constituent jamais un consentement. Pour une PME, cela implique de bannir les cases pré-cochées pour les newsletters ou l'acceptation des cookies. Le responsable de traitement doit être capable de prouver que le consentement a été recueilli, ce qui nécessite la mise en place d'un registre des preuves. Un point critique réside dans la révocabilité : la personne doit pouvoir retirer son consentement aussi facilement qu'elle l'a donné. Si le traitement repose uniquement sur le consentement, le retrait de celui-ci impose l'arrêt immédiat du traitement et, selon les cas, la suppression des données. Cette base est souvent privilégiée pour le marketing direct ou la collecte de données non essentielles au service fourni.

L'exécution du contrat et les mesures précontractuelles

L'article 6.1.b permet le traitement de données lorsque celui-ci est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou pour prendre des mesures précontractuelles à sa demande. C'est la base légale par excellence pour la gestion commerciale d'une PME. Par exemple, collecter l'adresse de livraison pour envoyer un colis ou les coordonnées bancaires pour un prélèvement mensuel relève de l'exécution contractuelle. Il est important de noter que le traitement doit être strictement nécessaire. Si une donnée n'est pas indispensable à la fourniture du service, on ne peut pas invoquer l'exécution du contrat et il faudra se tourner vers le consentement. Les mesures précontractuelles couvrent, par exemple, l'établissement d'un devis après une demande du client. L'avantage majeur de cette base est qu'elle ne nécessite pas de recueil de consentement explicite, car la finalité est implicitement acceptée par la signature du contrat. Toutefois, le responsable doit informer clairement l'utilisateur de cette base légale dans sa politique de confidentialité.

L'obligation légale et la mission d'intérêt public

Certains traitements sont imposés par la loi, rendant le consentement inutile et même inapproprié. L'article 6.1.c concerne les obligations légales auxquelles le responsable de traitement est soumis. Pour une PME, cela se traduit quotidiennement par la gestion de la paie, où la collecte du numéro de sécurité sociale est obligatoire pour les déclarations sociales (DSN). De même, la conservation des factures pour répondre aux obligations comptables et fiscales relève de cette base. Parallèlement, l'article 6.1.e mentionne l'exécution d'une mission d'intérêt public ou l'exercice de l'autorité publique. Cette base est principalement réservée aux organismes publics ou aux entités privées investies d'une mission de service public. Pour une entreprise classique, c'est l'obligation légale qui prédomine. Il est essentiel de citer précisément le texte de loi (code du travail, code général des impôts) qui impose le traitement dans le registre des activités de traitement pour justifier la conformité lors d'un contrôle de la CNIL.

L'intérêt légitime : la base la plus flexible et risquée

L'intérêt légitime, prévu à l'article 6.1.f, permet de traiter des données sans consentement si le responsable a un intérêt valable qui ne prime pas sur les droits et libertés de la personne. C'est une base très utilisée pour la prospection commerciale B2B ou la sécurité réseau (logs de connexion). Cependant, son utilisation impose la réalisation d'un test de mise en balance, appelé LIA (Legitimate Interest Assessment). Ce test se décompose en trois étapes : le test de finalité (quel est l'intérêt ?), le test de nécessité (le traitement est-il indispensable ?) et le test de mise en balance (les droits de l'individu sont-ils lésés ?). Si le risque pour la personne est trop élevé, l'intérêt légitime ne peut être invoqué. Le droit d'opposition est ici renforcé : la personne peut s'opposer au traitement, et l'entreprise doit alors justifier de motifs impérieux pour continuer. Pour une PME, documenter ce test de mise en balance est la seule protection juridique efficace en cas de litige.

La protection des intérêts vitaux et les cas d'urgence

L'article 6.1.d traite des intérêts vitaux de la personne concernée ou d'une autre personne physique. Cette base légale est rarement utilisée par les PME de services, mais elle est cruciale dans les secteurs de la santé ou de la sécurité. Elle s'applique lorsque le traitement est nécessaire pour sauver une vie ou protéger l'intégrité physique d'une personne alors que celle-ci est incapable de donner son consentement (par exemple, une personne inconsciente aux urgences). Le traitement peut alors porter sur des données sensibles sans consentement préalable. L'urgence est le mot d'ordre ici. Une fois l'urgence passée, le responsable de traitement doit s'assurer que la conservation des données reste justifiée par une autre base légale ou être supprimée. Bien que marginale pour la majorité des dirigeants de PME, cette disposition souligne que le RGPD n'est pas un obstacle à la protection de la vie humaine, mais un cadre qui organise la priorité des droits en situation critique.

La hiérarchie et la documentation des bases légales

Une erreur fréquente consiste à cumuler plusieurs bases légales pour un même traitement. Or, chaque finalité doit être associée à une seule base légale unique. Par exemple, pour un client, la gestion de la commande repose sur l'exécution du contrat, tandis que l'envoi d'une newsletter promotionnelle repose sur le consentement ou l'intérêt légitime. Mélanger ces bases crée une insécurité juridique. Le dirigeant de PME doit consigner ces choix dans son registre des activités de traitement, document obligatoire selon l'article 30 du RGPD. Ce registre doit mentionner explicitement la base légale choisie pour chaque traitement. En cas de changement de finalité, la base légale doit être réévaluée. Si une entreprise décide de vendre ses fichiers clients à un partenaire, elle ne peut plus invoquer l'exécution du contrat et doit impérativement recueillir un nouveau consentement. La transparence, via les mentions d'information, est l'ultime étape pour valider l'application de l'article 6.

FAQ sur article 6 rgpd

Conclusion

Maîtriser l'article 6 du RGPD est le socle de toute stratégie de protection des données réussie pour une PME. Le choix d'une base légale erronée peut fragiliser l'ensemble de votre structure juridique et exposer votre entreprise à des risques financiers majeurs. Pour sécuriser vos processus et garantir que chaque traitement de données est parfaitement justifié, un accompagnement expert est recommandé. Nous vous invitons à réaliser un audit de conformité RGPD complet pour identifier vos lacunes et mettre en place des mesures correctives durables. Protégez votre activité et renforcez la confiance de vos clients en visitant itwatchyou.fr dès aujourd'hui.
audit de conformité RGPD