Article 6 Licéité du traitement

Le consentement comme base juridique (article 6, §1, a)

Le traitement est licite lorsque la personne concernée a donné son consentement pour une ou plusieurs finalités spécifiques.

Le consentement doit répondre aux exigences posées à l'article 4, point 11, et à l'article 7 du RGPD : il doit être libre, spécifique, éclairé et univoque.

Il ne peut être ni présumé ni implicite et doit résulter d'un acte positif clair.

La personne concernée doit pouvoir retirer son consentement à tout moment, sans que cela n'affecte la licéité du traitement fondé sur le consentement avant son retrait.

Le recours au consentement est fréquent dans les traitements liés à la prospection commerciale, aux services numériques et à l'utilisation de cookies ou de technologies similaires.

L'exécution du contrat (article 6, §1, b)

Le traitement est licite lorsqu'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à sa demande.

Cette base juridique couvre uniquement les traitements strictement indispensables à la fourniture du service ou à la livraison du bien objet du contrat.

Elle ne permet pas de justifier des traitements accessoires ou non nécessaires à l'exécution contractuelle, même s'ils interviennent dans un contexte contractuel.

Le respect d'une obligation légale (article 6, §1, c)

Un traitement est licite lorsqu'il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.

Cette base juridique suppose l'existence d'une norme juridique contraignante, issue du droit de l'Union ou du droit national, imposant le traitement concerné.

Elle vise notamment les obligations fiscales, sociales, comptables ou celles relatives à la conservation de données prévues par la loi.

La sauvegarde des intérêts vitaux (article 6, §1, d)

Le traitement est licite lorsqu'il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.

Cette base juridique est d'application exceptionnelle. Elle concerne principalement les situations d'urgence mettant en jeu la vie ou l'intégrité physique d'une personne, notamment dans un contexte médical ou humanitaire.

Elle ne peut être utilisée que lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement.

La mission d'intérêt public ou l'exercice de l'autorité publique (article 6, §1, e)

Le traitement est licite lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Cette base juridique est principalement mobilisée par les autorités publiques et les organismes chargés d'une mission de service public.

Elle suppose l'existence d'un fondement juridique dans le droit national ou de l'Union définissant la mission et les finalités du traitement.

Les intérêts légitimes du responsable du traitement (article 6, §1, f)

Le traitement est licite lorsqu'il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sous réserve que ne prévalent pas les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Cette base juridique repose sur une mise en balance entre l'intérêt poursuivi et les droits de la personne concernée.

Elle implique la réalisation préalable d'une analyse visant à démontrer que le traitement est proportionné et qu'il ne porte pas une atteinte excessive à la vie privée.

Elle est fréquemment utilisée pour la prévention de la fraude, la sécurité des systèmes d'information ou certains traitements internes de gestion.

Portée juridique et articulation avec les autres articles

L'article 6 est indissociable de l'article 5, qui impose que les données soient traitées de manière licite, loyale et transparente.

Il est également en lien direct avec les articles 7 et 8 relatifs au consentement, ainsi qu'avec l'article 9 concernant le traitement des catégories particulières de données.

L'absence de base juridique valable entraîne l'illégalité du traitement dans son ensemble, indépendamment du respect des autres obligations formelles du RGPD.

Les autorités de contrôle fondent prioritairement leurs décisions de sanction sur des manquements à l'article 6, notamment en cas de traitement sans fondement juridique valable.

Implications pratiques pour les responsables de traitement

Pour les entreprises et les organismes publics, l'article 6 impose d'identifier, de documenter et de justifier la base juridique de chaque traitement de données à caractère personnel.

Cette base doit être cohérente avec la finalité poursuivie, portée à la connaissance des personnes concernées conformément aux articles 12 à 14 du RGPD et intégrée dans le registre des activités de traitement prévu à l'article 30.

Un changement de base juridique en cours de traitement n'est pas librement possible et doit respecter les exigences du RGPD, notamment en matière d'information et de transparence.

Jurisprudence relative à l'article 6

L'article 6 du RGPD fait l'objet d'une jurisprudence abondante tant au niveau national qu'européen. La Cour de justice de l'Union européenne (CJUE) a précisé, dans plusieurs arrêts fondateurs, les conditions d'application des différentes bases juridiques. Ainsi, dans l'arrêt Planet49 (C-673/17), la Cour a confirmé que le consentement doit résulter d'un acte positif clair et que les cases pré-cochées ne peuvent constituer un consentement valable au sens de l'article 6, paragraphe 1, point a).

La CNIL sanctionne régulièrement les manquements relatifs à l'absence de base juridique valable ou à l'invocation inappropriée d'une base juridique. Les décisions montrent que le recours à l'intérêt légitime (article 6, §1, f) doit être strictement justifié et proportionné, et que cette base ne peut être utilisée pour contourner les exigences du consentement lorsque celui-ci est requis, notamment en matière de prospection commerciale par voie électronique.

Les autorités de contrôle européennes considèrent également que le fondement contractuel (article 6, §1, b) ne peut être invoqué que pour des traitements strictement nécessaires à l'exécution du contrat, et non pour des traitements accessoires ou de confort. Cette interprétation vise à éviter que les responsables de traitement n'imposent des traitements non essentiels en les liant artificiellement à l'exécution contractuelle.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) recommande aux responsables de traitement d'identifier clairement la base juridique applicable dès la conception du traitement et de la documenter dans le registre des activités de traitement prévu à l'article 30 du RGPD. Elle insiste sur la nécessité de ne pas changer de base juridique en cours de traitement, sauf circonstances exceptionnelles dûment justifiées et communiquées aux personnes concernées.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices détaillées sur le consentement (lignes directrices 05/2020) et sur les intérêts légitimes (WP 217). Ces documents précisent les critères de validité du consentement, notamment son caractère libre en l'absence de déséquilibre manifeste, ainsi que la méthodologie applicable pour réaliser un test de mise en balance dans le cadre de l'intérêt légitime.

La CNIL et le CEPD soulignent que le choix de la base juridique doit être cohérent avec la finalité poursuivie, porté à la connaissance des personnes concernées et respecter le principe de loyauté. Ils recommandent de privilégier, lorsque cela est possible, des bases juridiques stables et conformes aux attentes raisonnables des personnes concernées.