Introduction
En 2026, la base légale reste le pilier incontournable du RGPD (article 6). Sans elle, tout traitement de données personnelles est illégal, exposant votre organisation à des amendes CNIL jusqu'à 4% du CA mondial – comme les 50 M€ infligés à Google en 2019 pour défaut de base légale claire. Pour un DPO ou responsable conformité, choisir la bonne base n'est pas une formalité : c'est un exercice d'analyse fine intégrant finalité, proportionnalité et alternatives. Ce tutoriel expert vous guide pas à pas, des 6 bases légales aux tests LIA (Legitimate Interest Assessment), avec frameworks actionnables et études de cas réels (Amazon, Meta). À la fin, vous saurez documenter une base légale irréfutable face à un contrôle CNIL, boostant votre résilience réglementaire dans un écosystème post-Schrems II et IA Act. (142 mots)
Prérequis
- Maîtrise avancée du RGPD (articles 4-6, 9, 22-25)
- Expérience en mapping de traitements (registre DP)
- Connaissance des guidelines EDPB (WP29/EDPB 1/2020 sur consentement)
- Outils comme Excel ou Notion pour checklists LIA
Étape 1 : Cartographier les traitements et finalités
Commencez par un mapping exhaustif de vos traitements, car la base légale est indissociable de la finalité (art. 5.1.b RGPD). Utilisez ce framework de cartographie :
| Traitement | Données collectées | Finalité principale | Destinataires | Durée |
|---|---|---|---|---|
| ------------ | ------------------- | --------------------- | -------------- | ------- |
| Newsletter | Email, nom | Marketing direct | Service com | 3 ans ou désabonnement |
| Recrutement | CV, coordonnées | Sélection candidats | RH | 2 ans post-recrutement |
Exercice pratique : Listez 5 traitements de votre orga ; qualifiez chaque finalité en 1 phrase précise.
Étape 2 : Maîtriser les 6 bases légales et leurs critères
Les 6 bases (art. 6 RGPD) ne sont pas interchangeables. Voici un tableau comparatif expert :
| Base légale | Critères d'applicabilité | Avantages | Limites | Exemple réel |
|---|---|---|---|---|
| ------------- | -------------------------- | ----------- | --------- | -------------- |
| Consentement (6.1.a) | Libre, spécifique, éclairé, univoque | Facile à obtenir | Retrait anytime, pas pour enfants sans parental | Meta fined 405 M€ (2022) pour consentement cookies non granulaire |
| Contrat (6.1.b) | Nécessaire à exécution | Stable, pas de retrait | Strictement liée au contrat | Netflix : traitement abo pour streaming |
| Obligation légale (6.1.c) | Imposée par loi UE/FR | Irréfutable | Rare (ex: facturation TVA) | Employeurs : DSN paie |
| Intérêt vital (6.1.d) | Sauver vie, urgence | Exceptionnel | Hospitalisations d'urgence | |
| Mission d'intérêt public (6.1.e) | Loi spécifique (ex: santé publique) | Pour AP | Autorités publiques only | ARS : vaccination COVID |
| Intérêt légitime (6.1.f) | Nécessaire + LIA positif (intérêt > droits) | Flexible | Test LIA obligatoire | Amazon : reco produits (LIA EDPB) |
Étape 3 : Appliquer le test LIA pour intérêt légitime
Modèle LIA canvas (inspiré EDPB guidelines 1/2020) – template réutilisable :
- Intérêt légitime : Quel gain ? (ex: 'fraude detection' = 20% réduction pertes chez BNP).
- Nécessité : Alternative moins intrusive ? (anonymisation vs pseudo).
- Équilibre : Droits personnes > intérêt ? Score 1-10.
- Mesures : Consentement granulaire, opt-out facile.
Checklist LIA :
- [ ] Intérêt prévalant documenté (stats chiffrées)
- [ ] Consultation DPIA si haut risque
- [ ] Opt-out en 2 clics
Exercice : Pour un tracking marketing, réalisez un LIA en 30 min.
Étape 4 : Documenter et prouver la conformité
La preuve incombe au responsable (art. 5.2). Créez un template de registre base légale :
Fiche traitement :
- ID : TRT-001
- Base : Intérêt légitime
- Justification : LIA joint (score équilibre 8/10)
- Réf loi : Art. 6.1.f + EDPB 6/2020
- Preuves : Taux opt-out <5%, audits annuels
Exemple réel : OVHcloud post-règlement Schrems II documente 'contrat + clauses contractuelles types' pour transferts US. Intégrez au registre DP (art. 30). Analogy : comme un avocat qui prépare son dossier pour plaidoirie – anticipez les questions CNIL ('Pourquoi pas consentement ?'). Automatisez via Airtable pour scalabilité.
Étape 5 : Gérer les évolutions et révisions annuelles
Les bases évoluent (ex: finalité étendue = nouvelle base). Implémentez un cycle de gouvernance :
- Trimestriel : Review mapping
- Annuel : Audit LIA (benchmark CNIL)
- Événementiel : Post-DPIA ou plainte
Bonnes pratiques essentielles
- Toujours hiérarchiser : Contrat > légal > intérêt légitime > consentement (CNIL reco 2024).
- Multibase hybride : Ex: e-commerce = contrat (paiement) + intérêt légitime (reco).
- Transparence proactive : Mentionnez base dans info art.13/14 (ex: 'Intérêt légitime réf. LIA-2026-01').
- Audit collaboratif : Impliquez juriste + métier pour robustesse.
- Outils : OneTrust ou Captain Compliance pour templates LIA automatisés.
Erreurs courantes à éviter
- Abus consentement : 92% des sites FR non-conformes (CNIL 2023) – utilisez-le seulement si retrait ne perturbe pas.
- LIA fantôme : Pas de doc = présomption illégale (Meta 1,2 Md€ amende 2023).
- Monobase unique : Ignorez les sous-traitements (ex: analytics tiers = intérêt légitime séparé).
- Oubli transferts : Base UE stricte ne couvre pas US (Schrems II).
Pour aller plus loin
Plongez dans les Guidelines EDPB 05/2020 sur consentement et CNIL – Les bases légales. Suivez notre formation experte RGPD Avancé pour DPO avec ateliers LIA pratiques. Stats : Orgs avec LIA doc réduisent risques amendes x3 (Deloitte 2025).