- RGPD L'article 6 énumère six bases légales — au moins une doit s'appliquer à chaque activité de traitement
- Le consentement n'est pas toujours le choix le plus sûr; pour les services contractuels, l'exécution du contrat est plus claire
- Vous devez identifier votre base légale avant de commencer le traitement — vous ne pouvez pas changer rétroactivement
- La base choisie influe sur l'application des droits individuels et la manière dont ils peuvent être exercés
Le traitement des données à caractère personnel sans base légale en vertu de l'article 6 du RGPD est illégal — arrêt complet. Pourtant, beaucoup d'organisations oublient entièrement cette étape, s'appuient sur le consentement en tant que point de départ, ou documentent une base sans l'appliquer véritablement. Les autorités de surveillance considèrent les documents de base licites manquants ou inexacts comme un manquement important à la conformité.
Les six bases légales ne sont pas interchangeables. Chacun a des obligations différentes et accorde aux personnes concernées des droits différents. Le choix de la bonne base dès le départ est fondamental pour tout votre programme de conformité au RGPD.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Les six bases légales expliquées
Consentement
La personne a donné son consentement clair, précis, éclairé et librement donné. Le consentement doit être aussi facile à retirer qu'à donner. Il ne peut pas être combiné avec d'autres accords, implicites ou pré-tichés. Utiliser le consentement pour les communications de marketing, les caractéristiques de profil optionnel ou le traitement qui va au-delà de ce que la relation exige strictement.
Exécution du contrat
Le traitement est nécessaire pour exécuter un contrat avec la personne ou pour prendre des mesures à sa demande avant de conclure un contrat. C'est la base principale pour le traitement des données client dans les services professionnels — vous possédez les coordonnées d'un client, les informations KYC, et les données importantes parce que vous devez pour fournir vos services. Ne pas utiliser le consentement pour les données que couvre l'exécution du contrat.
Obligation juridique
Le traitement est nécessaire pour respecter une obligation légale en vertu du droit de l'UE ou des États membres. L'examen préalable de la LMA/CJA, les obligations de déclaration obligatoires et les exigences du droit du travail sont ici. Cette base ne s'étend pas aux obligations contractuelles — celles-ci sont couvertes par l'article 6, paragraphe 1, point b).
Intérêts vitaux
Le traitement est nécessaire pour protéger la vie de quelqu'un. Il s'agit d'une base étroite, applicable principalement dans les situations d'urgence réelles. C'est rarement la bonne base pour le traitement des données commerciales.
Fonction publique
Le traitement est nécessaire pour une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité officielle. Cela s'applique principalement aux autorités publiques, aux organismes de réglementation et aux organismes qui exercent des fonctions publiques déléguées. La plupart des entreprises réglementées privées n'utiliseront pas cette base.
Les intérêts légitimes
Le traitement est nécessaire pour les intérêts légitimes du responsable du traitement ou d'un tiers, sauf si les intérêts ou les droits fondamentaux de la personne concernée l'emportent sur eux. Cela exige une évaluation en trois parties des intérêts légitimes : identifier l'intérêt légitime; démontrer que le traitement est nécessaire; l'équilibrer par rapport aux intérêts de la personne. Bon pour la prévention de la fraude, la sécurité du réseau, l'analyse interne et le marketing B2B aux clients existants.
Comment la base légale affecte les droits des personnes concernées
Votre base choisie détermine directement quels droits les personnes concernées peuvent exercer:
- Consentementement : les personnes peuvent retirer leur consentement à tout moment, ce qui déclenche un droit à l'effacement dans la plupart des cas
- Exécution du contrat: le droit d'opposition ne s'applique pas, mais les données doivent être supprimées à la fin du contrat et le délai de conservation expire
- Obligation légale: aucun droit d'effacement; les données doivent être conservées pour satisfaire à l'obligation
- Intérêts légitimes: les individus ont un droit absolu d'opposition; s'ils s'opposent et que vous ne pouvez pas outrepasser leurs intérêts, vous devez arrêter le traitement
Documenter votre base légale
Votre dossier des activités de traitement (RPA) en vertu de l'article 30 doit documenter la base légale de chaque activité de traitement. Votre avis de confidentialité doit également communiquer la base aux personnes concernées. Documenter après le fait, ou compter sur une base que vous n'avez pas vraiment évalué à l'époque, n'est pas conforme.
Pouvons-nous passer d'une base légale à une autre?
Dans la plupart des cas, non. Les lignes directrices de l'ICO et de l'EDPB sont claires : vous ne pouvez pas changer de base pour éviter une obligation qui a surgi (p. ex. passer du consentement aux intérêts légitimes après le retrait du consentement). Vous devez identifier et documenter la bonne base avant le début du traitement.
Avons-nous besoin d'un consentement pour les données des clients si nous avons un contrat?
C'est pas vrai. Si vous possédez des données client pour exécuter un contrat ou une obligation légale, le consentement n'est pas la base appropriée — et l'utilisation de celui-ci crée des obligations (retirement facile, droit d'effacement) que vous n'avez pas besoin si la base correcte est l'exécution du contrat ou une obligation légale.
Documentez correctement vos bases légales
L'espace de travail de HubSecure comprend des modèles pour les dossiers des activités de traitement et les avis de protection des renseignements personnels, précompilés par votre industrie et votre juridiction.
Réservez une démoSources officielles et lectures complémentaires
Utiliser ces sources publiques pour vérifier le contexte réglementaire et la terminologie. HubSecure contenu est l'orientation des produits, pas des conseils juridiques.
Notes de crédibilité
Ce guide est rédigé pour l'évaluation des produits et des opérations, et non comme un avis juridique. Pour les obligations de conformité, confirmer les exigences auprès d'un avocat qualifié ou de l'organisme de réglementation pertinent.
Related HubSecure références: Sécurité · DPA · Sous-processeurs · Glossaire AML/KYC · Glossaire RBAC
Examen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale