Décryptage complet de l’article 6 du RGPD
Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
- La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
- Le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles à la demande de la personne concernée.
- Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Le traitement est nécessaire à une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers, sauf si les droits ou libertés fondamentaux de la personne concernée prévalent, notamment s’il s’agit d’un enfant.
Le point f) ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
Les États membres peuvent introduire des dispositions plus spécifiques pour adapter l’application des règles du RGPD pour les traitements visés aux points c) et e) du paragraphe 1, en précisant :
- Les exigences spécifiques applicables au traitement ;
- D’autres mesures visant à garantir un traitement licite et loyal ;
- Des situations particulières de traitement (cf. chapitre IX).
Le fondement du traitement, lorsqu’il repose sur les points c) ou e) du paragraphe 1, est défini par :
- Le droit de l’Union, ou
- Le droit de l’État membre auquel le responsable est soumis.
Cette base juridique peut notamment définir :
- Les finalités du traitement ;
- Les types de données traitées et les personnes concernées ;
- Les entités destinataires des données et les finalités associées ;
- La limitation des finalités ;
- Les durées de conservation ;
- Les procédures de traitement et garanties spécifiques.
Elle doit répondre à un objectif d’intérêt public et être proportionnée à l’objectif légitime poursuivi.
Si un traitement ultérieur n’est pas fondé sur le consentement ou une base légale claire, sa compatibilité avec la finalité initiale est évaluée en tenant compte :
- Du lien entre les finalités initiales et celles du traitement envisagé ;
- Du contexte dans lequel les données ont été collectées, notamment la relation avec la personne concernée ;
- De la nature des données, en particulier si elles sont sensibles (article 9) ou pénales (article 10) ;
- Des conséquences possibles pour la personne concernée ;
- De l’existence de garanties appropriées, telles que le chiffrement ou la pseudonymisation.
L’essentiel à retenir sur l’article 6 du RGPD
Vous traitez des données ? Clients, salariés, prospects, patients ? Dans ce cas, soyez vigilant car cela vous concerne directement. Et pas qu’un peu. En effet, si vous ne disposez pas d’une base légale solide, les autorités considèrent votre traitement comme illicite.
L’article 6 du RGPD définit six cas précis où le traitement des données personnelles est licite. Pas sept, pas huit. Six. Et vous devez en choisir une seule par finalité de traitement.
« Un traitement n’est autorisé que s’il repose sur une base juridique. Sinon, c’est une infraction. »
En pratique, ce n’est pas juste une formalité. Le choix de la base légale doit être cohérent avec le but du traitement. Autrement dit, si vous utilisez le consentement alors que le contrat suffit, vous fragilisez votre conformité.
✅ Règle d’or : une base claire, documentée, justifiée.
Les bases légales RGPD décryptées (et comment ne pas se tromper)
1. Le consentement : l’illusion de simplicité
Ce qu’il faut : un accord libre, spécifique, informé, univoque.
En effet, l’utilisateur doit pouvoir le retirer aussi facilement qu’il l’a donné.
Exemples : inscription à une newsletter, cookies marketing, prospection B2C.
⚠️ Erreurs courantes : cases pré-cochées, consentement mélangé (un seul pour plusieurs usages).
Conseil : Si vous devez forcer la main, ce n’est plus du consentement.
2. Le contrat : la base carrée (mais souvent mal interprétée)
Quand l’utiliser ? Quand le traitement est nécessaire à l’exécution d’un contrat avec la personne.
Exemples : traitement de commandes, livraison, service client.
⚠️ Faux pas : utiliser « contrat » pour justifier l’analyse comportementale ou la pub personnalisée.
3. L’obligation légale : quand la loi impose
Utilisation : traitement imposé par une loi nationale ou européenne.
Exemples : obligations comptables, fiches de paie, déclarations sociales.
⚠️ Attention : la loi doit s’appliquer à vous directement, en tant que responsable.
4. Intérêts vitaux : à ne sortir qu’en cas d’urgence
Utilisation : pour protéger une vie humaine.
Exemples : urgence médicale, accident, crise sanitaire.
🚨 Note : base réservée aux situations exceptionnelles.
5. Mission d’intérêt public : la base du secteur public (ou assimilé)
Exemples : enquêtes INSEE, collectes de données électorales, obligations sociales.
Conseil : vérifiez que le texte définit clairement la mission.
6. Intérêt légitime : souple, mais sous surveillance
Utilisation : si le traitement sert vos intérêts mais n’empiète pas sur les droits de la personne.
Exemples : prévention de fraude, vidéosurveillance, prospection B2B, amélioration produit.
❗ Exige : un test de mise en balance (analyse d’impact recommandée).
Conseil d’expert : c’est la base la plus stratégique en marketing, mais la plus scrutée par la CNIL.
Checklist pour valider étape par étape la licéité de votre traitement
Passez en revue ces critères un à un pour vous assurer que votre traitement respecte bien l’article 6 du RGPD. Vous pouvez vous appuyer sur une seule base légale, à condition de la justifier.
✅ La checklist pour s’assurer de la licéité du traitement
Comment choisir la bonne base ?
| Étape | Question | Oui | Non |
|---|---|---|---|
| 1 | Ai-je un contrat avec la personne concernée ? | ✅ Contrat | ➡️ Étape 2 |
| 2 | La loi m’impose ce traitement ? | ✅ Obligation légale | ➡️ Étape 3 |
| 3 | Ai-je un intérêt légitime bien évalué ? | ✅ Intérêt légitime | ➡️ Étape 4 |
| 4 | Puis-je obtenir un consentement libre et clair ? | ✅ Consentement | ❌ Reprendre l’analyse |
Pensez à documenter ce choix dans votre registre RGPD.
FAQ – Article 6 RGPD : cas limites et erreurs à éviter
Quelle base légale RGPD choisir pour les données RH ?
👉 Réponse courte : Privilégiez le contrat ou l’obligation légale, pas le consentement.
Les traitements RH sont encadrés par le droit du travail : fiches de paie, déclarations sociales ou gestion des congés reposent souvent sur l’obligation légale. Pour des données sensibles (ex. : handicap), combinez avec une exception de l’article 9 RGPD.
🧩 Astuce : Segmentez les bases par sous-finalité RH dans votre registre (ex : recrutement ≠ suivi médical).
Peut-on traiter des données sans consentement selon le RGPD ?
✅ Oui, si une autre base juridique s’applique clairement (contrat, intérêt légitime, etc.).
Le consentement ne constitue pas la base par défaut : il devient risqué si vous ne le documentez pas ou si la personne ne peut pas le retirer facilement. Vous devez prouver que la base que vous avez choisie correspond bien à la finalité du traitement, et que vous avez informé clairement la personne concernée.
⚠️ Erreur fréquente : obtenir un consentement là où une base plus solide est possible (contrat, légale).
Comment prouver qu’on a bien choisi la bonne base légale RGPD ?
La preuve repose sur trois éléments clés :
- 🔎 Un registre de traitement clair, à jour et structuré.
- 📜 Une politique de confidentialité explicite et accessible.
- 🧾 Une documentation (analyse de balance, AIPD, textes légaux) pour chaque base invoquée.
Conseil : Gardez une trace du raisonnement ayant conduit au choix de la base.
Quelle base légale pour la prospection commerciale B2B ou B2C ?
| Type de prospection | Base légale recommandée | Conditions |
|---|---|---|
| B2C (particuliers) | Consentement | Opt-in préalable obligatoire |
| B2C client existant | Intérêt légitime | Si produits/services similaires |
| B2B (pro) | Intérêt légitime | Message lié à l’activité pro, droit d’opposition respecté |
⚠️ Attention : même en B2B, vous devez établir un lien clair entre votre prospection et l’activité professionnelle de votre cible.
