Les 6 bases juridiques du traitement sous le RGPD
Comprenez les six bases juridiques RGPD pour le traitement des données personnelles. Conseils pratiques pour choisir la bonne base pour chaque activité de traitement, avec des exemples spécifiques au SaaS et les erreurs courantes à éviter.
GRCTrail Team
Chaque fois que votre entreprise SaaS traite des données personnelles — chaque enregistrement de base de données, chaque événement analytique, chaque email envoyé, chaque entrée de journal — vous avez besoin d’une base juridique pour ce traitement. Ce n’est pas une formalité. L’article 6 du RGPD exige que chaque activité de traitement repose sur l’une des six bases juridiques spécifiques. Sans base valide, le traitement est illicite — un point c’est tout.
Le choix de la bonne base juridique pour chaque activité a des conséquences en cascade. Cela détermine ce que vous devez communiquer aux personnes dans votre avis de confidentialité, si les personnes concernées peuvent s’opposer au traitement, si vous pouvez transférer les données internationalement et ce qui se passe si votre base juridique est contestée.
Ce guide explique les six bases, quand utiliser chacune et les implications pratiques pour les entreprises SaaS.
Les six bases juridiques
1. Consentement — Article 6(1)(a)
Ce que cela signifie : La personne concernée a donné un accord clair et positif au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques.
Quand l’utiliser :
- Emails marketing et newsletters
- Cookies et technologies de suivi non essentiels
- Traitement allant au-delà de ce qui est nécessaire pour fournir votre service
- Fonctionnalités optionnelles impliquant de nouveaux types de traitement de données
- Recherche ou enquêtes
Quand NE PAS l’utiliser :
- Traitement nécessaire à la fourniture de votre service (utilisez la nécessité contractuelle)
- Traitement que vous effectuerez indépendamment du consentement de la personne
- Situations où la personne ne peut pas réalistement refuser (déséquilibre de pouvoir)
Exigences : Le consentement sous le RGPD a des exigences strictes — donné librement, spécifique, éclairé et sans ambiguïté. Les cases pré-cochées ne comptent pas. Le consentement groupé couvrant plusieurs finalités ne compte pas. Et vous devez rendre le retrait aussi simple que le consentement initial. Consultez notre guide sur la gestion du consentement pour les exigences complètes.
Implication clé : Si le consentement est votre base et que quelqu’un le retire, vous devez arrêter le traitement. Vous ne pouvez pas changer rétroactivement de base juridique.
Exemple SaaS : Un SaaS de gestion de projet veut envoyer à ses utilisateurs une newsletter mensuelle avec des conseils de productivité. C’est distinct du service auquel ils se sont inscrits. Le consentement est la bonne base — l’utilisateur accepte activement, et la newsletter s’arrête s’il se désabonne.
2. Nécessité contractuelle — Article 6(1)(b)
Ce que cela signifie : Le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée, ou pour prendre des mesures à sa demande avant la conclusion d’un contrat.
Quand l’utiliser :
- Stocker et gérer les comptes utilisateurs de votre produit SaaS
- Traiter les informations de paiement pour facturer votre service
- Fournir les fonctionnalités principales de votre produit
- Assurer le support client lié au service
- Mesures précontractuelles comme le traitement d’une demande de démonstration ou d’inscription à un essai gratuit
Quand NE PAS l’utiliser :
- Traitement utile mais non nécessaire pour le contrat (analyses, marketing, amélioration du produit)
- Traitement servant davantage vos intérêts que la fourniture du service
- Traitement pour des fonctionnalités que l’utilisateur n’a pas activées ou achetées
Le test de « nécessité » : Le traitement doit être véritablement nécessaire à l’exécution du contrat — pas simplement utile ou souhaitable. Stocker le nom et l’email d’un utilisateur pour lui permettre de se connecter est nécessaire. Suivre les mouvements de sa souris pour une carte thermique n’est pas nécessaire pour le contrat, même si cela vous aide à améliorer le produit. Le CEPD a été clair : la nécessité contractuelle doit être interprétée de manière restrictive.
Exemple SaaS : Un SaaS CRM stocke les fiches de contact client, les données du pipeline commercial et les journaux d’activité parce que la finalité même du service est de gérer ces dossiers. Le traitement de ces données est directement nécessaire à l’exécution du contrat.
3. Obligation légale — Article 6(1)(c)
Ce que cela signifie : Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
Quand l’utiliser :
- Conservation des dossiers financiers pour les déclarations fiscales (généralement 7 à 10 ans)
- Déclarations auprès des régulateurs financiers (lutte anti-blanchiment)
- Conformité aux ordonnances judiciaires ou procédures juridiques
- Exigences du droit du travail (paie, sécurité sociale, dossiers de santé et sécurité au travail)
- Obligations de déclarations réglementaires
Quand NE PAS l’utiliser :
- Conservation « au cas où » — l’obligation doit être spécifique et actuelle
- Bonnes pratiques de l’industrie qui ne sont pas légalement mandatées
- Obligations contractuelles (utilisez la nécessité contractuelle)
L’exigence de spécificité : Vous devez être en mesure de pointer vers une loi, un règlement ou une obligation légale spécifique qui exige le traitement. « Nous pourrions en avoir besoin pour des raisons juridiques » ne suffit pas. L’obligation doit être réelle, actuelle et applicable à votre organisation.
Exemple SaaS : Une entreprise SaaS conserve les factures clients et les dossiers de paiement pendant 10 ans pour se conformer au droit fiscal allemand (Abgabenordnung). La loi spécifique et la durée de conservation sont documentées dans le RAT.
4. Intérêts vitaux — Article 6(1)(d)
Ce que cela signifie : Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
Quand l’utiliser : Essentiellement uniquement dans des situations de vie ou de mort — urgences médicales, catastrophes naturelles, crises humanitaires.
Pertinence pour le SaaS : Cette base n’est presque jamais applicable aux entreprises SaaS. Si vous développez un produit de surveillance de la santé ou de réponse aux urgences, elle pourrait s’appliquer dans des cas extrêmes. Pour les opérations commerciales standard, tournez-vous vers les cinq autres bases.
5. Intérêt public / Autorité officielle — Article 6(1)(e)
Ce que cela signifie : Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Quand l’utiliser : Agences gouvernementales, organismes publics et organisations exerçant des fonctions d’intérêt public (santé publique, recherche, archivage).
Pertinence pour le SaaS : Rarement applicable sauf si vous êtes mandaté par une agence gouvernementale pour exercer une fonction publique. Si vous êtes une entreprise SaaS privée, cette base est peu susceptible de s’appliquer à vos activités de traitement.
6. Intérêt légitime — Article 6(1)(f)
Ce que cela signifie : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Quand l’utiliser :
- Analyses produit et suivi d’utilisation (agrégé, non intrusif)
- Prévention de la fraude et surveillance de la sécurité
- Sécurité du réseau et de l’information (y compris journalisation et surveillance)
- Administration interne et opérations commerciales
- Marketing direct auprès de clients existants (dans certaines juridictions, avec des garanties appropriées)
- Enquêtes de satisfaction client
- Suivi des bugs et rapports d’erreurs
Quand NE PAS l’utiliser :
- Traitement principalement à votre bénéfice avec un impact significatif sur les personnes
- Profilage à grande échelle sans transparence
- Traitement auquel les personnes ne s’attendraient pas raisonnablement
- Lorsque le consentement ou une autre base est plus approprié
Le test d’équilibrage : L’intérêt légitime est la base la plus flexible, mais elle exige un test d’équilibrage documenté — l’Évaluation de l’Intérêt Légitime (LIA). Vous devez peser vos intérêts par rapport aux droits et attentes de la personne concernée. Si les intérêts de la personne concernée l’emportent sur les vôtres, l’intérêt légitime ne fonctionne pas.
Le processus LIA :
- Identifiez l’intérêt légitime. Quel intérêt spécifique poursuivez-vous ? Il doit être réel, pas hypothétique.
- Le traitement est-il nécessaire ? Pourriez-vous atteindre le même objectif sans les données, ou avec moins de données ?
- Équilibrez avec les intérêts de la personne concernée. Considérez : les personnes s’attendraient-elles à ce traitement ? À quel point est-il intrusif ? Pourrait-il causer un préjudice ? Quelles garanties sont en place ?
- Documentez l’évaluation. Enregistrez votre analyse et votre conclusion.
Exemple SaaS : Une entreprise SaaS utilise des analyses produit pour suivre quelles fonctionnalités sont utilisées, à quelle fréquence et par combien d’utilisateurs. Les données sont pseudonymisées et agrégées pour l’analyse. L’intérêt légitime est l’amélioration du produit ; l’impact sur les utilisateurs est minimal (pas de profilage individuel, pas de données sensibles, conforme aux attentes des utilisateurs). Une LIA documentée soutient cette base.
Comment choisir la bonne base
Cadre de décision
Pour chaque activité de traitement, suivez cet ordre :
-
Y a-t-il une obligation légale ? Si la loi exige le traitement, utilisez l’obligation légale. C’est la base la plus claire.
-
Le traitement est-il nécessaire pour un contrat ? Si le traitement est véritablement requis pour fournir le service auquel la personne s’est inscrite, utilisez la nécessité contractuelle.
-
L’intérêt légitime s’applique-t-il ? Si le traitement sert un intérêt commercial réel, est proportionné et ne surprendrait pas la personne concernée, réalisez un test d’équilibrage. S’il est concluant, l’intérêt légitime peut être la bonne base.
-
Le consentement est-il approprié ? Si aucune des bases ci-dessus ne s’applique — le traitement est optionnel, sert davantage vos intérêts que ceux de l’utilisateur, ou la personne devrait avoir un véritable choix — utilisez le consentement.
Activités de traitement SaaS courantes et leurs bases
| Activité de traitement | Base recommandée | Justification |
|---|---|---|
| Création et gestion de comptes utilisateurs | Nécessité contractuelle | Requis pour fournir le service |
| Traitement des paiements | Nécessité contractuelle + Obligation légale | Contrat pour la facturation ; droit fiscal pour les dossiers |
| Fonctionnalité principale du produit | Nécessité contractuelle | Ce à quoi l’utilisateur s’est inscrit |
| Support client | Nécessité contractuelle | Fait partie de la fourniture du service |
| Analyses produit (pseudonymisées) | Intérêt légitime | Amélioration du produit, faible impact |
| Surveillance de sécurité et journalisation | Intérêt légitime | Sécurité du réseau, prévention de la fraude |
| Emails marketing aux prospects | Consentement | Pas de relation client existante |
| Emails marketing aux clients (produits similaires) | Intérêt légitime (varie selon le pays) | Soft opt-in autorisé dans certaines juridictions |
| Newsletter aux non-clients | Consentement | Pas de relation existante |
| Cookies non essentiels | Consentement | Exigence de la directive ePrivacy |
| Traitement de la paie des employés | Nécessité contractuelle + Obligation légale | Contrat de travail et droit fiscal |
| Données de candidats à l’emploi | Consentement ou Intérêt légitime | Dépend de la juridiction et du contexte |
| Conservation des dossiers financiers | Obligation légale | Droit fiscal et comptable |
| Recherche d’amélioration du produit | Intérêt légitime ou Consentement | Dépend des données utilisées et de la méthodologie |
Erreurs courantes
Choisir le consentement par défaut pour tout. Le consentement semble être le choix le plus sûr — « nous avons demandé, ils ont accepté ». Mais s’appuyer sur le consentement quand ce n’est pas la bonne base crée des problèmes. Si le consentement n’est pas donné librement (parce que refuser signifie perdre le service), il est invalide. Et si vous n’arrêteriez pas réellement le traitement en cas de retrait du consentement, vous n’êtes pas honnête sur votre base juridique.
Ne pas documenter la base choisie. Votre RAT doit enregistrer la base juridique pour chaque activité de traitement, ainsi que la justification. Les autorités de contrôle le demanderont. « Nous pensions que l’intérêt légitime convenait » sans LIA documentée ne démontre pas la responsabilité.
Utiliser une base mais en communiquer une autre. Votre avis de confidentialité doit indiquer avec précision quelle base juridique s’applique à chaque finalité de traitement. Si votre avis dit « consentement » mais que vous vous appuyez en réalité sur l’intérêt légitime, il y a une incohérence qui crée à la fois des problèmes juridiques et de confiance.
Essayer de changer de base quand c’est contesté. Si quelqu’un retire son consentement, vous ne pouvez pas rétroactivement affirmer que vous aviez un intérêt légitime depuis le début. Le CEPD a clairement indiqué que changer de base pour éviter les conséquences du choix initial n’est pas autorisé. Choisissez soigneusement dès le départ.
Confondre intérêt légitime et « nous avons une raison ». Toute organisation a des raisons de traiter des données. L’intérêt légitime exige davantage — une évaluation documentée montrant que votre intérêt est réel et spécifique, que le traitement est nécessaire pour cet intérêt et que les droits de la personne concernée ne l’emportent pas.
Comment GRCTrail soutient la documentation des bases juridiques
GRCTrail vous aide à documenter et maintenir vos choix de bases juridiques :
RAT avec suivi des bases juridiques. Chaque activité de traitement dans votre Registre des Activités de Traitement inclut la base juridique documentée, liée aux évaluations de soutien (LIA pour l’intérêt légitime, registres de consentement pour le consentement).
Vérifications de cohérence. GRCTrail signale les incohérences entre votre base juridique documentée et votre avis de confidentialité publié, aidant à garantir que ce que vous dites aux personnes concernées correspond à votre documentation interne.
Modèles de LIA. Réalisez et documentez des Évaluations de l’Intérêt Légitime à l’aide de modèles structurés couvrant tous les éléments requis.
Documentez vos bases juridiques de manière systématique →
Guides connexes
- Gestion du consentement — Quand le consentement est la bonne base
- Registre des Activités de Traitement (RAT) — Documenter votre traitement et vos bases
- Exigences relatives aux avis de confidentialité — Communiquer vos bases juridiques aux personnes concernées
- Checklist de conformité RGPD — Le cadre de conformité complet
Articles connexes
Gestion du consentement RGPD : exigences et bonnes pratiques
Comprenez quand le consentement RGPD est requis, ce qui rend le consentement valide, comment mettre en oeuvre les mécanismes de consentement et la différence entre le consentement et les autres bases juridiques. Guide pratique pour les équipes SaaS.
Registre des Activités de Traitement (RAT) : guide RGPD
Apprenez à créer et maintenir votre Registre des Activités de Traitement RGPD. Couvre les exigences de l'article 30, les registres du responsable du traitement vs. du sous-traitant, des exemples SaaS et des conseils pratiques pour garder votre RAT à jour.
Checklist de conformité RGPD pour les entreprises SaaS
Une checklist de conformité RGPD étape par étape conçue pour les équipes SaaS. Couvre la documentation, les droits des personnes concernées, la gestion des sous-traitants et le suivi continu pour ne rien laisser passer.