# La licéité, la loyauté et la transparence

Un traitement de données personnelles doit obligatoirement être justifié par une base légale (ou fondement juridique). C’est ce qui autorise légalement la mise en œuvre du traitement.

L’article 6 du RGPD en propose six : le consentement de la personne concernée, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux, l’exécution d’une mission d’intérêt public et l’intérêt légitime du responsable de traitement.

# Le consentement de la personne concernée

# Les conditions applicables au consentement

Le consentement est une manifestation de volonté qui doit être :

  • Libre : ni contraint, ni forcé, la personne a le pouvoir de refuser
  • Spécifique : le consentement correspond à un traitement pour une finalité
  • Eclairé : la personne concernée a reçu suffisamment d’informations pour être en mesure de donner son consentement en connaissance de cause
  • Univoque : suppose un acte positif de la personne concernée (cocher une case par exemple)

Le responsable de traitement doit informer la personne sur le fait que celle-ci peut retirer son consentement à tout moment. Cela suppose donc que le responsable de traitement donne les moyens d’une telle action à la personne concernée.

# Les conditions applicables au consentement des enfants

Des conditions particulières sont prévues par l’article 8 du RGPD pour le recueil du consentement des enfants. En effet, les sociétés d’information (les sociétés proposant des contrats et autres services conclus ou transmis en ligne, comme par exemple les réseaux sociaux) ne peuvent offrir leurs services aux mineurs de moins de 16 ans sans avoir au préalable obtenu le consentement de leur représentant légal. Le règlement précise que les Etats membres sont libres d’abaisser cet âge tant qu’il n’est pas inférieur à 13 ans. Ainsi, en France la Loi Informatique et Libertés impose qu’en-dessous de 15 ans, les sociétés de l’information doivent obtenir le consentement du titulaire de l’autorité parentale.

# L’exécution d’un contrat

Le traitement peut être nécessaire à l’exécution d’un contrat ou à des mesures précontractuelles auxquelles la personne concernée est partie. Dans cette hypothèse, il convient de vérifier que le contrat ne pourrait avoir lieu sans la réalisation du traitement. Par exemple pour les données récoltées par un site web lors de la création d’un compte en ligne, ces données sont traitées dans le cadre de l’exécution des Conditions Générales d’Utilisation du site (CGU).

# Le respect d’une obligation légale

Le responsable de traitement est soumis à une obligation légale l’obligeant à mettre en œuvre un traitement de données personnelles. Cette obligation légale doit être basée sur un texte de l’Etat du responsable de traitement ou bien de l’UE. Par exemple, les dispositions du code monétaire et financier imposent à certaines professions des obligations de vigilance à l’égard de leur clientèle en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme, qui imposent la mise en œuvre de traitements de données.

# La sauvegarde des intérêts vitaux

Cette base légale s’applique lorsqu’un traitement est nécessaire pour protéger un intérêt essentiel à la vie d’une personne. Cette base légale ne doit être choisie que lorsqu’aucune autre ne s’applique. Cette base s’applique notamment pour les traitements nécessaires à des fins humanitaires, de suivi des épidémies ou d’opération médicale d’urgence.

# L’exécution d’une mission d‘intérêt public

La base légale de l’exécution d’une mission d’intérêt public s’applique aux traitements visant une mission d’intérêt public du pays concerné (inscription au sein des établissements scolaires, attribution des logements sociaux, déroulement des missions des services de police…).

# L’intérêt légitime du responsable de traitement

La licéité de cette base légale dépend de l’équilibre entre l’intérêt du responsable de traitement et les intérêts, libertés et droits fondamentaux de la personne concernée. Avant de choisir cette base légale, la CNIL recommande de se poser la question suivante « est-ce que la personne concernée peut raisonnablement s’attendre à ce que ses données fassent l’objet d’un traitement spécifique ? ».

L’intérêt légitime doit être :

  • Licite (conforme à la règlementation)
  • Formulé en termes clairs et précis
  • Constituer un intérêt réel et présent (non hypothétique)
  • Nécessaire à la finalité recherchée

A titre d’exemple, la sécurité des biens et des personnes peut justifier l’installation d’un système de vidéoprotection dans une entreprise. Il s’agit de l’intérêt légitime de l’entreprise.