Pas de base juridique, pas de traitement
Le RGPD est parfaitement clair sur ce point : vous ne pouvez traiter des donnees personnelles que si vous disposez d’une base juridique valable. L’article 6 du RGPD vous donne six options. Aucune ne s’applique ? Alors vous ne pouvez tout simplement pas traiter les donnees.
Cela semble strict, mais en pratique, c’est tout a fait gerable. La plupart des PME n’utilisent que trois ou quatre bases juridiques. Nous les passons toutes en revue ci-dessous, avec des exemples concrets.
Les 6 bases juridiques en resume
1. Consentement
Quand : une personne vous donne son consentement libre, specifique et univoque.
Exemple : un visiteur de votre site s’inscrit a votre newsletter. Vous ne placez des cookies marketing qu’apres un clic sur “accepter.”
Attention : le consentement doit etre veritablement libre. Une case pre-cochee ne compte pas. La personne concernee peut retirer son consentement a tout moment, apres quoi vous devez immediatement cesser ce traitement. Cela fait du consentement une base fragile.
2. Execution d’un contrat
Quand : le traitement est necessaire pour executer un contrat ou pour prendre des mesures a la demande de la personne avant la conclusion d’un contrat.
Exemple : un client passe une commande dans votre boutique en ligne. Vous avez besoin de son nom, adresse et coordonnees de paiement pour traiter et livrer la commande.
Attention : cela ne couvre que les traitements reellement necessaires au contrat. Expedier la commande ? Oui. Ajouter l’email du client a votre liste marketing ? Non.
3. Obligation legale
Quand : la loi vous oblige a traiter ou conserver certaines donnees.
Exemple : votre comptabilite. Le fisc vous oblige a conserver les factures pendant 7 ans, y compris les donnees clients. Votre administration des salaires contient des numeros d’identification nationaux parce que la loi l’exige.
Attention : vous ne pouvez invoquer qu’une obligation legale concrete et specifique. “Cela me semblait judicieux” n’est pas une obligation legale.
4. Interet vital
Quand : le traitement est necessaire pour proteger la vie d’une personne.
Exemple : un visiteur dans vos locaux fait un arret cardiaque et vous partagez ses informations medicales avec les secours.
En pratique, cette base est rarement pertinente pour les PME.
5. Interet public ou autorite publique
Quand : le traitement est necessaire a l’execution d’une mission d’interet public ou relevant de l’exercice de l’autorite publique.
En tant que PME, vous n’aurez presque jamais besoin de cette base. C’est le domaine des pouvoirs publics.
6. Interet legitime
Quand : vous avez un interet legitime qui l’emporte sur les interets de la personne concernee en matiere de vie privee.
Exemple : vous analysez les statistiques de votre site web. Ou vous installez des cameras pour la prevention des cambriolages. Ou vous envoyez a un client existant un email sur un produit similaire (soft opt-in).
Attention : vous devez effectuer une mise en balance des interets. Votre interet doit l’emporter sur l’impact sur la vie privee de la personne concernee. Documentez cette evaluation.
Les quatre bases les plus utilisees par les PME
| Traitement | Base juridique |
|---|---|
| Envoi d’une newsletter | Consentement |
| Cookies marketing | Consentement |
| Traitement d’une commande | Contrat |
| Etablissement d’un devis | Contrat |
| Conservation des factures (7 ans) | Obligation legale |
| Administration des salaires | Obligation legale |
| Analytics web | Interet legitime |
| Securite informatique/journalisation | Interet legitime |
L’erreur la plus courante : demander le consentement pour tout
Beaucoup de dirigeants de PME pensent : “si je demande le consentement pour tout, je suis en regle.” C’est un malentendu qui peut vous causer des problemes.
Pourquoi ? Parce que le consentement peut etre retire a tout moment. Si un client retire son consentement pour un traitement pour lequel vous aviez une meilleure base (comme le contrat ou l’obligation legale), vous devez tout de meme arreter.
Exemple : vous demandez le consentement pour mettre les coordonnees du client sur une facture. Le client retire son consentement. Probleme : le fisc vous oblige a conserver ces donnees. Si vous aviez choisi “obligation legale” des le depart, il n’y aurait eu aucun souci.
La regle d’or : n’utilisez le consentement que lorsqu’aucune autre base n’est disponible. Et si vous le demandez, assurez-vous que le retrait soit aussi simple que l’octroi.
Comment documenter vos bases juridiques ?
- Registre des traitements - notez la base juridique par activite de traitement
- Politique de confidentialite - indiquez la base par finalite de traitement
- Mise en balance des interets - pour chaque traitement fonde sur l’interet legitime, redigez une breve evaluation
Conseil : choisissez votre base juridique avant de commencer le traitement, pas apres coup. Chercher retroactivement une base qui correspond a ce que vous faites deja n’est pas conforme au RGPD, et c’est exactement ce que les autorites de controle verifient lors des inspections.
GDPRWise vous aide a choisir la bonne base juridique par traitement et documente automatiquement le tout dans votre registre des traitements et votre politique de confidentialite.