Choisir la bonne base légale, c’est la première décision juridique à prendre avant tout traitement de données personnelles. Une erreur ici invalide l’ensemble de votre démarche de conformité — et la CNIL en a fait l’un de ses critères de contrôle prioritaires. J’ai vu des entreprises recevoir des mises en demeure non pas parce qu’elles ne respectaient pas les droits des personnes, mais parce qu’elles avaient sélectionné une base légale inadaptée dans leur registre des traitements.

Voici un guide complet pour comprendre les 6 bases légales de l’article 6 du RGPD, savoir laquelle choisir selon votre situation, et éviter les erreurs les plus fréquentes.

Pourquoi la base légale est-elle si importante ?

L’article 5(1)(a) du RGPD pose le principe de licéité : tout traitement de données personnelles doit reposer sur un fondement juridique valide. Sans base légale, le traitement est illicite, peu importe ses autres qualités.

Cette obligation conditionne tout le reste :

• Elle détermine les droits que vous devez garantir aux personnes (droit d’opposition possible sur la base de l’intérêt légitime, mais pas sur la base contractuelle).
• Elle influe sur vos obligations déclaratives dans le registre des activités de traitement.
• Elle conditionne la possibilité de transférer des données hors UE dans certains cas.
• Elle est contrôlée en priorité lors d’une inspection CNIL.

La CNIL a sanctionné plusieurs entreprises précisément sur ce point. En 2022, elle a infligé une amende de 150 000 € à une société de prospection commerciale qui invoquait le consentement pour des données recueillies sans information préalable adéquate — la base légale était incorrectement documentée et appliquée.

Les 6 bases légales de l’article 6 du RGPD

L’article 6(1) du RGPD énumère de manière exhaustive les six fondements sur lesquels peut reposer un traitement licite. Il n’en existe pas d’autres — vous ne pouvez pas en inventer.

1. Le consentement — Art. 6(1)(a)

Le consentement est la base légale la plus connue, mais aussi la plus mal utilisée. Le RGPD lui impose des conditions strictes : il doit être libre, spécifique, éclairé et univoque. Une case pré-cochée ne vaut pas consentement. Un consentement obtenu sous la contrainte ou dans un contrat d’adhésion est présumé non libre.

Quand l’utiliser : newsletter marketing, cookies non essentiels, prospection commerciale par email auprès des particuliers (B2C), traitement de données sensibles dans certains cas.

Quand ne pas l’utiliser : lorsqu’il existe un déséquilibre manifeste entre le responsable de traitement et la personne (relation employeur-salarié notamment), ou lorsqu’une autre base légale est plus adaptée.

Attention : si vous choisissez le consentement, vous devez être en mesure de le prouver (charge de la preuve), et la personne doit pouvoir le retirer à tout moment aussi facilement qu’elle l’a donné (Art. 7(3)). Le retrait du consentement entraîne l’arrêt du traitement — ce qui peut créer des contraintes opérationnelles importantes.

Pour approfondir, consultez notre guide complet sur le consentement RGPD et les modèles de formulaires de consentement.

2. L’exécution d’un contrat — Art. 6(1)(b)

Cette base légale couvre les traitements nécessaires à l’exécution d’un contrat auquel la personne concernée est partie, ainsi que les mesures précontractuelles prises à sa demande (devis, simulation, inscription).

Exemples concrets :

• Collecte des coordonnées d’un client pour livrer sa commande e-commerce
• Traitement de l’adresse d’un locataire pour l’exécution d’un bail
• Données d’un salarié pour l’établissement de son contrat de travail
• Informations d’un candidat pour répondre à sa demande d’offre

Limite importante : la nécessité doit être réelle. On ne peut pas invoquer la base contractuelle pour un traitement qui ne serait qu’utile ou commode. La CJUE a précisé dans l’arrêt Meta Platforms (C-252/21, 4 juillet 2023) que la personnalisation publicitaire n’est pas nécessaire à l’exécution d’un contrat de service de réseau social — ce qui a mis fin à la pratique de nombreuses plateformes d’invoquer le contrat pour la publicité ciblée.

3. L’obligation légale — Art. 6(1)©

Certains traitements sont imposés par la loi. Dans ce cas, la base légale est l’obligation légale. Elle dispense de recueillir un consentement et le responsable de traitement ne peut pas y déroger si la loi l’impose.

Exemples fréquents :

• Conservation des bulletins de salaire (Code du travail)
• Déclaration des accidents du travail à la CPAM
• Transmission des données fiscales à l’administration (TVA, DSN)
• Registre des bénéficiaires effectifs (Code de commerce)
• Vérification d’identité dans le cadre de la lutte anti-blanchiment (LCB-FT)

Ce qu’il faut identifier : le texte légal ou réglementaire précis qui impose le traitement. Sans référence normative, cette base légale ne peut pas être invoquée.

4. La sauvegarde des intérêts vitaux — Art. 6(1)(d)

Cette base légale est réservée aux situations d’urgence vitale : elle couvre les traitements nécessaires à la protection de la vie d’une personne, lorsqu’elle est physiquement ou juridiquement incapable de donner son consentement.

Cas d’usage typique : un hôpital qui accède au dossier médical d’un patient inconscient pour lui prodiguer des soins d’urgence.

Dans la grande majorité des contextes d’entreprise, cette base légale ne s’applique pas. Ne l’utilisez jamais comme base de substitution pour contourner les conditions du consentement.

5. La mission d’intérêt public / l’autorité publique — Art. 6(1)(e)

Cette base légale est destinée aux organismes publics et parapublics : administrations, collectivités territoriales, établissements publics. Elle couvre les traitements nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice d’une autorité publique.

Exemples : gestion des demandes de subventions, traitement des dossiers de prestations sociales, gestion des données d’état civil, vidéoprotection sur la voie publique par les communes.

Les entreprises privées ne peuvent pas, en règle générale, invoquer cette base légale — sauf si elles exercent une mission de service public déléguée.

6. L’intérêt légitime — Art. 6(1)(f)

L’intérêt légitime est la base légale la plus souple, mais aussi la plus encadrée. Elle permet à un responsable de traitement de traiter des données sans consentement, à condition que trois conditions cumulatives soient réunies :

1. L’intérêt légitime doit être réel (prospection B2B, sécurité des systèmes, prévention de la fraude, etc.)
2. Le traitement doit être nécessaire pour atteindre cet objectif
3. Une mise en balance doit montrer que les intérêts, droits et libertés fondamentaux de la personne ne l’emportent pas sur cet intérêt

Cas d’usage courants :

• Prospection commerciale B2B (Art. L. 34-5 CPCE combiné à Art. 6(1)(f) RGPD)
• Sécurité des systèmes d’information (journalisation, détection d’anomalies)
• Prévention de la fraude
• Marketing direct auprès des clients existants (sous conditions)
• Statistiques internes

Ce que vous devez documenter : un test de mise en balance (balancing test) formalisé, qui analyse l’impact potentiel sur les personnes et justifie pourquoi leur intérêt ne prime pas. La CNIL recommande de l’inclure dans le registre des traitements.

Point d’attention post-Meta : l’arrêt Meta Platforms de la CJUE (2023) a durci l’interprétation de l’intérêt légitime pour la publicité comportementale. La Cour a confirmé qu’une mise en balance rigoureuse est requise et que le simple intérêt commercial ne suffit pas.

Comment choisir la bonne base légale : méthode par élimination

En pratique, je recommande de raisonner dans l’ordre suivant pour chaque traitement :

Étape 1 — La loi impose-t-elle ce traitement ? Si oui → base légale : obligation légale (Art. 6(1)©).

Étape 2 — Le traitement est-il nécessaire à l’exécution d’un contrat avec la personne ? Si oui → base légale : contrat (Art. 6(1)(b)). Vérifiez que la nécessité est réelle, pas simplement utile.

Étape 3 — Êtes-vous un organisme public agissant dans le cadre d’une mission d’intérêt général ? Si oui → base légale : intérêt public (Art. 6(1)(e)).

Étape 4 — S’agit-il d’une urgence vitale ? Si oui (rare) → base légale : intérêts vitaux (Art. 6(1)(d)).

Étape 5 — Disposez-vous d’un intérêt légitime documenté, et la mise en balance est-elle favorable ? Si oui → base légale : intérêt légitime (Art. 6(1)(f)). Formalisez le balancing test.

Étape 6 — Aucune des bases précédentes ne s’applique ? → base légale : consentement (Art. 6(1)(a)), à condition de respecter toutes ses exigences.

Ce raisonnement par élimination est conforme à la position de la CNIL et du Comité européen de la protection des données (CEPD). Il évite le recours abusif au consentement — une erreur fréquente qui expose l’entreprise à des difficultés opérationnelles (gestion des retraits) et à des risques de sanctions.

Les erreurs les plus fréquentes et leurs conséquences

Erreur 1 : Demander le consentement alors qu’une autre base légale existe

C’est l’erreur classique : une PME demande le consentement pour la gestion de la paie ou la facturation, alors que la base légale contractuelle ou l’obligation légale s’applique. Conséquence : si un salarié retire son consentement, l’entreprise se retrouve dans l’impossibilité légale de traiter ses données pour la paie.

Erreur 2 : Invoquer l’intérêt légitime sans balancing test documenté

La CNIL peut demander à voir votre analyse de mise en balance. Sans documentation, vous vous exposez à une mise en demeure.

Erreur 3 : Changer de base légale en cours de traitement

La base légale doit être déterminée avant le début du traitement (Art. 5(1)(a) et considérant 39). On ne peut pas passer du consentement à l’intérêt légitime a posteriori pour contourner un retrait de consentement massif.

Erreur 4 : Indiquer “plusieurs bases légales” pour un même traitement

Un traitement ne peut avoir qu’une seule base légale principale. Il est possible d’avoir des traitements distincts avec des bases différentes (ex : gestion de la paie sur obligation légale + envoi de la newsletter interne sur consentement), mais pas de cumuler les bases pour un même traitement.

Cas particulier : les données sensibles (Art. 9)

Les données sensibles (santé, origine ethnique, opinions politiques, données biométriques, orientation sexuelle, etc.) nécessitent non seulement une base légale au sens de l’Art. 6, mais aussi une condition spécifique de l’Art. 9(2). Ces deux conditions sont cumulatives.

Par exemple, traiter des données de santé d’un patient requiert :

• Une base légale Art. 6 (souvent obligation légale ou contrat de soin)
• ET une condition Art. 9(2) (consentement explicite du patient, ou nécessité médicale — Art. 9(2)(h))

Consultez notre guide sur les données sensibles RGPD pour approfondir ce point.

Base légale et registre des traitements

La base légale choisie doit figurer dans votre registre des activités de traitement pour chaque traitement identifié. C’est une obligation issue de l’Art. 30 du RGPD.

Pour les traitements reposant sur l’intérêt légitime, il est recommandé — et souvent exigé lors des contrôles CNIL — d’annexer au registre le résultat du balancing test.

Le responsable de traitement est responsable de la documentation et de la démonstration du choix de la base légale (principe d’accountability, Art. 5(2)).

Base légale et droits des personnes : les interactions

Le choix de la base légale détermine directement quels droits s’appliquent :

Base légale	Droit d’opposition (Art. 21)	Droit à la portabilité (Art. 20)
Consentement	Non applicable (on retire le consentement)	Oui
Contrat	Non	Oui
Obligation légale	Non	Non
Intérêts vitaux	Non	Non
Intérêt public	Oui (motifs légitimes)	Non
Intérêt légitime	Oui (motifs légitimes)	Non

Ces interactions sont importantes à anticiper dans votre mise en conformité RGPD : documenter la base légale, c’est aussi déterminer comment vous devrez répondre aux demandes d’exercice de droits.

Ce qu’il faut retenir

• Tout traitement doit avoir une base légale issue de l’Art. 6(1) du RGPD — sans exception.
• Raisonnez par élimination : obligation légale → contrat → intérêt public → intérêts vitaux → intérêt légitime → consentement.
• Le consentement n’est pas la base légale par défaut : ne le demandez que lorsqu’aucune autre base ne s’applique.
• L’intérêt légitime exige un balancing test documenté : sans cela, vous vous exposez à un contrôle CNIL difficile.
• La base légale doit être fixée avant le début du traitement et inscrite dans votre registre.
• Elle conditionne les droits des personnes : droit d’opposition, droit à la portabilité, modalités du retrait du consentement.

FAQ — Questions fréquentes sur les bases légales RGPD

Peut-on utiliser plusieurs bases légales pour un même traitement ?

Non. Un traitement doit reposer sur une seule base légale principale. En revanche, un même flux de données peut alimenter plusieurs traitements distincts (ex : les données client utilisées pour la facturation — base contractuelle — puis pour une campagne marketing — base intérêt légitime ou consentement). Chaque traitement doit avoir sa propre base légale documentée dans le registre.

L’intérêt légitime peut-il servir de base pour la prospection commerciale B2C ?

C’est une question délicate. En France, la loi LCEN (transposant la directive ePrivacy) impose le consentement opt-in pour la prospection électronique auprès des particuliers, quelle que soit la base légale RGPD invoquée. L’intérêt légitime peut s’appliquer à la prospection B2B par email, sous conditions, mais pas comme substitut au consentement pour le B2C.

La base légale peut-elle changer après le début du traitement ?

Non, sauf dans des circonstances très limitées et à condition d’en informer les personnes concernées. La CJUE et le CEPD ont clairement indiqué qu’on ne peut pas invoquer rétroactivement une nouvelle base légale pour “sauver” un traitement illicite.

Faut-il informer les personnes de la base légale choisie ?

Oui. L’Art. 13(1)© et l’Art. 14(1)© du RGPD obligent à mentionner la base légale dans les informations fournies aux personnes (politique de confidentialité, mentions RGPD). Cette information doit être claire, précise et accessible.

Comment documenter le balancing test pour l’intérêt légitime ?

Le CEPD a publié des lignes directrices sur l’intérêt légitime (GL 06/2024, adoptées en 2024). La structure recommandée comprend : (1) identification de l’intérêt légitime poursuivi, (2) démonstration de la nécessité du traitement, (3) analyse des droits et libertés des personnes, (4) conclusion sur la mise en balance. Ce document doit être conservé et mis à jour en cas d’évolution du traitement.

---

Pour automatiser la documentation de vos bases légales et la gestion de votre registre des traitements, Legiscope intègre un assistant qui vous guide dans le choix de la base légale pour chaque traitement et génère automatiquement les entrées du registre conformes à l’Art. 30 RGPD.

---

Thiébaut Devergranne est docteur en droit privé (Paris II, 2007), titulaire du CAPA et fondateur de donneespersonnelles.fr. Il conseille des entreprises sur la conformité RGPD depuis plus de 20 ans.