Please choose your language:
  • frFrançais

Visit us in:
Barcelona, Copenhagen, Hamburg, Hong Kong, Kochi, London, Madrid, Milan, Munich, New York, Paris, Vienna, Zurich

Nos bureaux
Demander une démo
Contactez notre expert
Compliance & Ethics
Solutions
Politiques & Procédures internes
Gestion des déclarations
Risques liés aux tiers
Dispositif anti-corruption
Dispositif d'alerte professionnelle
Sensibilisation à la conformité
Plateforme
Toutes vos exigences de conformité. Une seule plateforme.
Whistleblowing
Canaux sécurisés. Protection totale.
Policies
Une gouvernance claire. Zéro confusion.
Approvals
Décisions rapides. Transparence totale.
Third Parties
Vision approfondie. Partenariats sécurisés.
Livre Blanc
Case Study
Webinar
Event
Article
Optimiser votre cartographie des risques
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Case Studies Webinaires Evénements White Papers Blog Actualité produits Service
Data Privacy
Solutions
Privacy automation
Plateforme
Protégez les données. Renforcez la confiance.
Conformité RGPD
Protection fluide. Esprit tranquille.
Conformité IA
Innovation éthique. Prêt pour l’avenir.
E-Learnings
Des connaissances qui perdurent. Des équipes performantes.
Livre Blanc
Case Study
Webinar
Event
Article
Votre checklist pour réussir vos audits de conformité RGPD
Nos experts en protection des données ont conçu une checklist complète pour vous accompagner, étape par étape, dans la préparation et la réalisation de vos audits RGPD. Téléchargez-la gratuitement dès maintenant.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Gestion de la durabilité
Solutions
Plateforme
Tous les cas d’usage sur une seule plateforme. Le cockpit de la durabilité
CSRD
Collectez les données dans toute l’organisation. Des rapports conformes..
Empreinte CO2
Calculez votre empreinte carbone. Réduisez vos émissions.
Double matérialité
Identifiez les enjeux clés. Passez à l’action.
VSME
Déclarez et partagez vos données ESG essentielles.
Taxonomie européenne
Mesurez votre alignement. Devenez plus durable.
Livre Blanc
Case Study
Webinar
Event
Article
La publication d’informations en matière de durabilité après la proposition “Omnibus” de l’UE
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Retour

RGPD : Comment choisir sa base légale ?

by Ola Mohty - Experte en protection des données & Docteure en droit  | Updated: 15/12/2025

Choisir la base légale adéquate pour vos traitements de données personnelles est essentiel pour assurer la conformité au RGPD. Cet article vous guide pas à pas dans ce processus et explique comment EQS Privacy Cockpit peut vous accompagner.

Qu’est-ce qu’une base légale ?

Comme nous l’expliquions dans cet article, la base légale d’un traitement, aussi appelée « licéité » ou « fondement juridique », est exposée à l’article 6 1 du Règlement Général sur la Protection des Données. La CNIL définit la base légale comme « ce qui autorise légalement la mise en œuvre d’un traitement, ce qui donne le droit à un organisme de collecter ou d’utiliser des données personnelles », en respectant les règles en matière de protection de la vie privée et des données personnelles. 

Pour être considéré comme licite, un traitement de données personnelles doit reposer sur l’une des six bases légales exposées par le RGPD : 

  • Le consentement de la personne concernée 
  • Le contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de la personne concernée 
  • L’obligation légale à laquelle est soumis le responsable de traitement 
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique 
  • L’exécution d’une mission d’intérêt public 
  • Les intérêts légitimes poursuivis par les responsables de traitement ou par un tiers 

Comment choisir sa base légale ?

Chacune des finalités pour lesquelles vous traitez des données doit reposer sur une base légale. Mais comment choisir la base légale adéquate ? 

Selon la CNIL (Commission Nationale de l’Informatique et des Libertés), le choix de la base légale est une « opération décisive », à réaliser avant la mise en œuvre du traitement. Dans certains cas, plusieurs bases légales peuvent s’avérer appropriées pour une même finalité, mais il faut en retenir une seule. 

Voici quelques questions pour vous guider : 

  • Un texte législatif ou réglementaire vous impose-t-il de réaliser le traitement ?
    • Si oui, retenez la base de l’obligation légale. Par exemple, le Code du travail impose à un employeur d’éditer les bulletins de paie. 
  • Existe-t-il un contrat ou futur contrat avec la personne concernée ?
    • Si oui, retenez la base du contrat. Par exemple, traiter l’adresse d’un client pour lui envoyer une commande se fera dans le cadre du contrat existant. 
  • Votre entité a-t-elle un intérêt légitime à traiter les données ?
    • Si oui, retenez la base de l’intérêt légitime. Par exemple, la prospection commerciale sur un produit similaire. 
  • Le traitement relève-t-il d’une mission d’intérêt public ?
    • Si oui, retenez la base de la mission d’intérêt public. Par exemple, un recensement national. 
  • Le traitement protège-t-il les intérêts vitaux d’une personne incapable de consentir ?
    • Si oui, retenez la base de la sauvegarde des intérêts vitaux. Par exemple, les services de secours utilisant des données pour protéger une victime d’accident.
  • Pouvez-vous collecter le consentement de la personne concernée ?
    • Le consentement doit être libre, spécifique, éclairé et univoque pour être valide. 

Vous pouvez également vous appuyer sur les publications de la CNIL ou sur les traitements types proposés par défaut dans EQS Privacy Cockpit pour vous guider. 

À noter : le choix de la base légale conditionne les droits et libertés des personnes concernées. 

Suivre le choix de sa base légale

Bien que la base légale ne soit pas un élément obligatoire du registre des traitements selon l’article 30 du RGPD, nous vous recommandons de tracer cette information au sein de votre registre.

En effet, comme il a été évoqué précédemment, la base légale est l’élément sur lequel repose votre traitement. Comme son nom l’indique, c’est ce qui justifie la licéité du traitement de données personnelles que vous réalisez. C’est une information essentielle à transmettre à votre autorité de contrôle en cas d’audit, pour éviter tout risque de sanction.

Il est donc important de tracer à l’écrit le choix de la base légale retenue par votre organisation, sous la supervision de votre Délégué à la Protection des Données (Data Protection Officer, ou autre personne en charge de la protection des données personnelles au sein de votre entreprise).

Conclusion

Choisir et documenter la base légale de chaque traitement est une étape stratégique de votre mise en conformité RGPD. Cela vous permet de protéger les droits des personnes concernées et de réduire les risques de sanction. En utilisant un outil adapté comme EQS Privacy Cockpit, vous pouvez structurer et tracer ce choix de manière claire et sécurisée, tout en facilitant les audits et la gouvernance des traitements. 

Sources

1 RGPD article 6

  • CNIL : L’obligation légale : dans quels cas fonder un traitement sur cette base légale ? Lire l’article
  • Le contrat : dans quels cas fonder un traitement sur cette base légale ? Lire l’article
  • La mission d’intérêt public : dans quels cas fonder un traitement sur cette base légale ? Lire l’article
  • L’intérêt légitime : comment fonder un traitement sur cette base légale ? Lire l’article
  • Consentement : Quand une case à cocher embrase les réseaux sociaux – Lire l’article
  • Conformité RGPD : comment recueillir le consentement des personnes ? – Lire l’article

 

Ola Mohty
Ola Mohty

Experte en protection des données & Docteure en droit

Passionnée par la protection de la vie privée et la sécurité des données, Ola aide depuis 2018 les entreprises à transformer la conformité en véritable levier de confiance. Forte de son expertise juridique approfondie en matière de protection des données personnelles, elle allie précision juridique et approche opérationnelle pour accompagner des organisations de toutes tailles. Sa mission : rendre la protection des données accessible, stratégique et porteuse de valeur.

Contact