Base légale d'un traitement (RGPD)

1. Sans base légale, le traitement est illicite Le RGPD interdit de traiter des données personnelles sans raison juridique. Avant toute collecte, le responsable doit choisir UNE base parmi les 6 prévues à l'article 6. Pas de base = sanction CNIL.

2. Les six bases (par ordre fréquent) Trois courantes : CONSENTEMENT (libre, éclairé, révocable), CONTRAT (exécution ou pré-contrat), OBLIGATION LÉGALE (paye, fisc). Trois bases plus rares : MISSION D'INTÉRÊT PUBLIC (service public), INTÉRÊT LÉGITIME (du responsable, avec test), INTÉRÊT VITAL (urgence santé).

3. Choisir, pas cumuler Un traitement = UNE base légale, choisie en amont et inscrite au registre. Si la base disparaît (le contrat finit, le consentement est retiré), le traitement doit cesser. Le choix engage la durée et les droits ouverts à la personne.

4. Le consentement n'est qu'une option Erreur fréquente : croire qu'il faut TOUJOURS demander un consentement. Faux. Un employeur n'a pas besoin du consentement pour la paye (c'est une obligation légale). Le consentement s'impose surtout pour le marketing et les cookies.

5. Pièges courants À ne pas confondre : base légale RGPD (6 bases EXCLUSIVES, données) ≠ consentement éclairé médical (acte de soin, plus large) ≠ acceptation des CGU (contrat). Et le retrait du consentement n'efface pas — il arrête le traitement futur.