Depuis l’entrée en application du Règlement général sur la protection des données (RGPD, Règlement UE 2016/679 du 27 avril 2016) le 25 mai 2018, une question revient systématiquement dans l’accompagnement des entreprises : sur quelle base légale puis-je traiter des données personnelles ?
C’est précisément l’objet de l’article 6 du RGPD, qui pose une règle simple mais souvent mal comprise : tout traitement de données à caractère personnel doit reposer sur au moins une base légale. Sans base légale valide, le traitement est illicite. Et l’illicéité d’un traitement expose directement l’entreprise à des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
La CNIL l’a rappelé avec force dans sa délibération SAN-2025-001 du 15 mai 2025 : l’article 6, paragraphe 1 du RGPD dispose que le traitement « n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie ». Cette exigence n’est pas une formalité administrative. C’est le fondement même de la licéité de votre activité numérique.
Cet article vous guide à travers les six bases légales prévues par le RGPD, leurs conditions d’application, les erreurs les plus fréquentes et les conséquences concrètes d’un mauvais choix.
Une base légale est la justification juridique qui autorise une entreprise, une association ou un organisme public à collecter et traiter des données personnelles. Sans cette justification, le traitement est interdit.
L’article 6, paragraphe 1 du RGPD énumère six bases légales possibles, et une seule suffit pour légitimer un traitement donné. Ces six fondements sont :
Le choix de la base légale n’est pas anodin. Il détermine les droits dont disposent les personnes sur leurs données, les obligations incombant à votre entreprise, et la manière dont vous devez informer les personnes concernées. Un mauvais choix de base légale, par exemple, invoquer le consentement alors que l’intérêt légitime aurait été approprié, ou l’inverse, constitue en lui-même une violation du RGPD.
Le consentement est la base légale la plus connue, mais aussi celle qui fait l’objet du plus grand nombre de manquements. L’article 4, point 11 du RGPD en donne une définition précise, rappelée par la CNIL dans sa délibération SAN-2025-017 du 30 décembre 2025 : il doit s’agir d’une manifestation de volonté libre, spécifique, éclairée et univoque.
Concrètement, cela signifie que :
Le consentement est adapté pour : les newsletters et campagnes d’emailing vers des particuliers, l’installation de cookies non essentiels, la prospection commerciale par voie électronique auprès de personnes n’ayant pas encore de relation contractuelle avec vous.
Le consentement n’est pas adapté pour : les traitements indispensables à l’exécution d’un contrat, les traitements imposés par la loi, les situations où la personne n’a pas réellement le choix de refuser (relation employeur/salarié, par exemple).
Exemple concret : Un e-commerçant qui installe des cookies publicitaires sans recueillir un consentement valide préalable s’expose à une sanction directe de la CNIL. La délibération SAN-2025-004 du 1er septembre 2025 illustre précisément ce type de manquement, où le défaut de recueil du consentement pour des traitements de prospection a conduit à une sanction significative.
Cette base légale s’applique lorsque le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de mesures précontractuelles prises à sa demande.
Elle couvre les cas où vous avez besoin des données pour livrer le produit ou service pour lequel la personne vous a contacté. Elle ne s’étend pas au-delà de ce qui est strictement nécessaire à cette fin.
Ce fondement est adapté pour : la gestion des commandes et livraisons, la facturation, la gestion du compte client, la fourniture d’un service SaaS ou d’une prestation de conseil.
Ce fondement n’est pas adapté pour : envoyer des emails marketing, analyser le comportement de navigation à des fins commerciales, transmettre les données à des partenaires tiers à des fins publicitaires.
Votre entreprise est soumise à de nombreuses obligations légales qui impliquent le traitement de données personnelles : conservation des bulletins de paie, déclarations fiscales et sociales, conservation des données de connexion pendant un an en application de l’article L. 34-1 du code des postes et des communications électroniques, ou encore tenue des registres comptables.
Dans ces cas, c’est la loi qui oblige le traitement, et non votre volonté propre. Cette base légale est donc solide et ne nécessite pas le consentement des personnes. Mais attention : le traitement doit rester strictement limité à ce qu’impose la loi. Vous ne pouvez pas utiliser cette base pour aller au-delà des obligations légales.
Cette base légale est réservée aux situations où le traitement est nécessaire pour protéger la vie d’une personne. Elle concerne essentiellement les professionnels de santé en cas d’urgence médicale, ou les situations de catastrophe. Elle n’a vocation qu’à s’appliquer en dernier recours, lorsque la personne n’est pas en mesure de consentir.
Pour la grande majorité des entreprises numériques et commerciales, cette base légale n’est pas pertinente.
L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique concerne principalement les administrations, les organismes publics ou les entités qui se voient confier une mission d’intérêt général par la loi. Un arrêté du 16 janvier 2024 relatif aux programmes de dépistage organisé des cancers mentionnait explicitement, dans son article 3, que les traitements de données à caractère personnel mis en œuvre dans ce cadre l’étaient pour « l’exécution d’une mission d’intérêt public, conformément au e du 1 de l’article 6 du règlement (UE) du 27 avril 2016 ».
Pour les entreprises privées, cette base est en principe inapplicable, sauf cas très particuliers.
L’intérêt légitime est la base légale la plus complexe et la plus discutée. Elle permet de traiter des données sans consentement ni obligation légale, à condition de respecter un test en trois étapes :
La CNIL l’a rappelé dans sa délibération SAN-2024-021 du 19 décembre 2024 : « pour se prévaloir de la base légale de l’intérêt légitime, le responsable de traitement doit opérer un contrôle de proportionnalité entre les intérêts poursuivis et l’atteinte portée aux droits ». Et dans sa délibération SAN-2025-001 du 15 mai 2025, la CNIL a rappelé que le considérant 47 du RGPD précise que « les intérêts légitimes d’un responsable du traitement » peuvent constituer une base légale, à condition que la mise en balance soit effectuée correctement.
L’intérêt légitime est adapté pour : la sécurité des systèmes informatiques, la prévention de la fraude, la prospection commerciale auprès d’anciens clients pour des produits similaires, la gestion des réclamations, certaines analyses statistiques internes.
L’intérêt légitime n’est pas adapté pour : les traitements à grande échelle qui affectent significativement les droits des personnes, les données sensibles, la surveillance des salariés, la vente de données à des tiers à des fins publicitaires.
Le choix de la base légale ne s’improvise pas. Il doit être mené finalité par finalité : un même traitement peut servir plusieurs finalités, et chacune doit être rattachée à la base légale la plus appropriée.
La démarche recommandée est la suivante :
Étape 1: Identifier la finalité du traitement. Pourquoi collectez-vous ces données ? Pour livrer une commande, pour envoyer une newsletter, pour détecter des fraudes ?
Étape 2: Passer les bases légales en revue par ordre de pertinence. Y a-t-il une obligation légale ? Y a-t-il un contrat ? Si oui, ces bases priment généralement sur le consentement ou l’intérêt légitime.
Étape 3: Documenter votre choix. Votre registre des activités de traitement, obligatoire en vertu de l’article 30 du RGPD, doit mentionner la base légale retenue pour chaque traitement.
Étape 4: En informer les personnes concernées. L’article 13 du RGPD exige que vous indiquiez la base légale dans votre politique de confidentialité.
Non, ou très difficilement. La CNIL et les autorités européennes de protection des données ont précisé que le changement de base légale est en principe interdit une fois le traitement mis en place, sauf motif légitime sérieux. Cette règle a une conséquence pratique majeure : il faut choisir la bonne base légale dès le départ, ce qui justifie une analyse juridique préalable au lancement de tout nouveau traitement.
Beaucoup d’entreprises utilisent le consentement comme base légale par réflexe, pour tous leurs traitements. C’est souvent une erreur qui se retourne contre elles. Invoquer le consentement alors qu’une autre base légale s’applique crée une obligation de recueillir et de conserver la preuve de ce consentement, et expose à des difficultés en cas de retrait : si la personne retire son consentement pour un traitement qui relève en réalité de l’exécution d’un contrat, vous ne pouvez pas pour autant arrêter de facturer ou de livrer.
À l’inverse, certaines entreprises invoquent l’intérêt légitime pour tous les traitements qu’elles souhaitent mettre en place sans recueillir de consentement. Cette base légale n’est pas un passe-droit. Elle suppose un test de proportionnalité documenté et sérieux. Son utilisation pour des traitements massifs ou intrusifs est régulièrement sanctionnée.
Exemple concret : Dans la délibération SAN-2025-002 du 15 mai 2025, la CNIL a sanctionné une société qui invoquait l’intérêt légitime pour transmettre les données de prospects à des fins de prospection commerciale par voie électronique. La formation restreinte a jugé que cette finalité nécessitait le consentement des personnes, et non l’intérêt légitime.
Même si vous avez choisi la bonne base légale, l’absence de documentation constitue un manquement à l’article 5, paragraphe 2 du RGPD (principe de responsabilité, ou « accountability »). En cas de contrôle, vous devez être en mesure de justifier votre choix par écrit.
L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Ce document interne doit notamment mentionner, pour chaque traitement : les finalités, les catégories de données, les destinataires, les durées de conservation, et la base légale retenue. Ce registre est le premier document demandé par la CNIL lors d’un contrôle.
Les articles 13 et 14 du RGPD obligent à informer les personnes concernées, au moment de la collecte, de la base légale sur laquelle repose le traitement. Cette mention doit figurer dans votre politique de confidentialité ou dans votre bandeau de cookies, de manière claire et accessible. Une mention du type « nous traitons vos données conformément à nos obligations légales et à nos intérêts légitimes » ne suffit pas : il faut détailler, finalité par finalité, la base légale applicable.
Le droit d’opposition prévu à l’article 21 du RGPD ne s’applique que pour les traitements fondés sur l’intérêt légitime ou sur l’intérêt public. Si vous avez choisi le consentement comme base légale, la personne ne peut pas « s’opposer » au traitement : elle retire son consentement. Si vous avez choisi l’obligation légale ou l’exécution d’un contrat, ni l’opposition ni le retrait du consentement ne sont applicables.
De même, le droit à l’effacement (« droit à l’oubli » au sens de l’article 17 du RGPD) ne peut pas être exercé pour les traitements fondés sur l’obligation légale ou l’exécution d’un contrat en cours.
Votre activité implique plusieurs traitements aux bases légales différentes :
Les données de vos utilisateurs traitées pour la fourniture du service (connexion, gestion du compte, utilisation des fonctionnalités) relèvent de l’exécution du contrat. En revanche, si vous souhaitez analyser le comportement de vos utilisateurs pour améliorer votre produit ou pour des fins marketing, vous devrez identifier une base légale distincte, le plus souvent l’intérêt légitime ou le consentement selon la nature et l’impact des traitements.
La gestion d’un programme de fidélité implique des traitements de profilage commercial qui nécessitent généralement le consentement des clients, sauf si ces traitements sont strictement nécessaires à l’exécution du contrat de fidélité. La transmission des données à des partenaires du réseau pour des actions marketing communes requiert, quant à elle, un consentement explicite ou une base contractuelle solide documentée.
La conformité à l’article 6 du RGPD n’est pas une démarche ponctuelle. C’est un travail continu qui nécessite une maîtrise simultanée du droit des données personnelles, du droit des contrats, du droit commercial et, dans certains cas, du droit fiscal. Le cabinet Mirabile Avocat, spécialisé en droit du numérique et en droit des affaires, accompagne les entreprises, dirigeants de TPE/PME, startups et acteurs du commerce à chaque étape de leur mise en conformité RGPD.
Avant de choisir une base légale, encore faut-il identifier l’ensemble des traitements mis en œuvre par votre organisation. Le cabinet réalise une cartographie complète de vos traitements de données, en les croisant avec vos flux d’activité, vos contrats et vos obligations légales, pour proposer une qualification juridique précise et documentée.
Le cabinet rédige ou audite vos politiques de confidentialité, vos mentions légales, vos conditions générales d’utilisation (CGU) et vos conditions générales de vente (CGV), en veillant à ce que les bases légales retenues soient correctement mentionnées et cohérentes avec vos pratiques réelles.
Il assiste également à la mise en place ou à la révision de votre registre des activités de traitement, en vous aidant à documenter les bases légales, les durées de conservation et les garanties apportées aux personnes concernées.
L’article 28 du RGPD impose de conclure un contrat de sous-traitance avec tout prestataire qui traite des données pour votre compte (hébergeur, prestataire CRM, agence marketing, etc.). Ce contrat encadre notamment les finalités du traitement et les obligations du sous-traitant. Le cabinet Mirabile rédige et négocie ces contrats pour sécuriser votre chaîne de responsabilité.
En cas de contrôle de la CNIL ou de plainte d’une personne concernée, le cabinet assiste le dirigeant dans la préparation de ses réponses, dans la production des justificatifs de conformité, et dans la négociation avec l’autorité de contrôle. La qualité de la documentation juridique préalable est souvent déterminante pour limiter les sanctions.
Certains litiges liés à la violation du RGPD peuvent donner lieu à des actions en responsabilité civile devant les juridictions judiciaires, en application de l’article 82 du RGPD. Le cabinet accompagne les entreprises dans ces procédures, tant en défense qu’en demande, et peut conseiller sur les mesures de remédiation permettant de limiter le préjudice.
Choisir la bonne base légale n’est pas une formalité administrative. C’est une obligation juridique fondamentale dont dépend la licéité de l’ensemble de votre activité numérique et commerciale. Un mauvais choix peut conduire à des sanctions financières lourdes, à l’obligation de supprimer des données collectées depuis des années, et à une atteinte significative à votre réputation.
Les six bases légales de l’article 6 du RGPD répondent à des situations différentes, et leur application exige une analyse précise de chaque traitement, de sa finalité et de son impact sur les droits des personnes concernées. Les décisions récentes de la CNIL — notamment les délibérations SAN-2025-001, SAN-2025-002 et SAN-2025-017 publiées en 2025 — montrent que l’autorité contrôle activement la correcte identification et la documentation des bases légales, et qu’elle n’hésite pas à sanctionner les manquements, même lorsqu’ils résultent d’une simple erreur d’appréciation.
La mise en conformité à l’article 6 du RGPD est un investissement juridique, pas un coût. Elle vous protège, protège vos clients et sécurise votre développement commercial.
Le cabinet Mirabile Avocat accompagne les entrepreneurs, dirigeants de TPE/PME et créateurs de projets numériques dans la mise en conformité RGPD, la rédaction de leurs contrats numériques et la gestion de leurs relations commerciales. Pour toute question relative à votre situation spécifique, nous vous invitons à prendre contact avec nos équipes.
Sources juridiques :
On s'écrit ? Parlez-moi de vos projets.
Links
