Comment déterminer la base légale RGPD en 2026

La base légale constitue le fondement juridique qui autorise une organisation à traiter des données personnelles. Depuis l’entrée en vigueur du RGPD, chaque traitement doit reposer sur l’une des six bases légales définies à l’article 6. Choisir la bonne base n’est pas une formalité administrative : c’est un acte de responsabilité qui conditionne la licéité du traitement, les droits des personnes et les obligations de l’entreprise. Une erreur de qualification peut entraîner des amendes, une perte de confiance des clients et des actions correctives coûteuses. Ce tutoriel vous guide pas à pas pour identifier, documenter et justifier la base légale la plus appropriée à votre situation.

• Connaître la définition de donnée personnelle
• Avoir identifié les traitements de données au sein de votre organisation
• Disposer d’un registre des activités de traitement à jour

Le RGPD propose six bases légales. Chacune répond à un contexte précis :

1. Consentement : la personne a donné son accord libre, spécifique, éclairé et univoque.
2. Exécution d’un contrat : le traitement est nécessaire à l’exécution d’un contrat.
3. Obligation légale : le traitement est imposé par une loi ou un règlement.
4. Sauvegarde des intérêts vitaux : protection de la vie d’une personne physique.
5. Mission d’intérêt public : traitement nécessaire à l’exercice d’une mission d’intérêt public.
6. Intérêts légitimes : intérêts de l’entreprise qui prévalent sur les droits des personnes.

Suivez cette approche structurée :

1. Décrire précisément le traitement : finalité, données concernées, destinataires.
2. Analyser la nécessité : le traitement est-il strictement nécessaire ?
3. Évaluer les attentes des personnes : quelle est leur relation avec l’organisation ?
4. Documenter le choix : consigner la base légale et les éléments de justification dans le registre des traitements.

Une entreprise souhaite envoyer une newsletter commerciale à ses clients existants. Deux options se présentent :

• Clients existants : la base légale peut être l’intérêt légitime, à condition de permettre un désabonnement simple et d’avoir réalisé un test de balance des intérêts.
• Prospects : le consentement est généralement requis car il n’existe pas de relation contractuelle préalable.

• Toujours documenter le raisonnement ayant conduit au choix de la base légale
• Informer clairement les personnes concernées de la base légale retenue
• Réévaluer périodiquement la pertinence de la base légale choisie
• Prévoir une base légale alternative lorsque cela est possible
• Former les équipes métier à cette analyse dès la conception des projets

• Utiliser systématiquement le consentement alors qu’une autre base est plus adaptée
• Oublier de distinguer les différentes finalités d’un même traitement
• Ne pas mettre à jour le registre lorsque le contexte change
• Confondre intérêt légitime et intérêt commercial sans analyse préalable

Approfondissez vos compétences en conformité RGPD avec les formations certifiantes proposées par Learni : https://learni-group.com/formations. Vous y trouverez des modules dédiés à l’analyse des bases légales et à la rédaction des registres de traitement.