Quelle base légale pour votre traitement de données personnelles ?

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > Quelle base légale pour votre traitement de données personnelles ?

Vous avez besoin d’aide pour définir la base légale de votre traitement de données ?

Contactez-moi

« La base légale d’un traitement de données personnelles est ce qui autorise légalement sa mise en œuvre. » (RGPD)

Tout traitement de données personnelles doit être licite, et pour cela il doit reposer sur une base légale. On parle aussi de base juridique ou de fondement juridique du traitement.

La base légale est ce qui vous donne le droit de collecter des données personnelles sur votre site Web.

C’est la première chose à définir pour votre traitement, et ce n’est pas toujours évident

Les 6 bases légales

Vous ne pouvez pas définir la base légale avec vos propres mots. Voici les 6 bases légales prévues par le RGPD et parmi lesquelles vous devrez choisir celle qui correspond le mieux à votre traitement de données : 

  • La personne a donné son consentement,
  • Le traitement est nécessaire à l’exécution d’un contrat,
  • Le responsable de traitement est soumis au respect d’une obligation légale,
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne,
  • La mission est d’intérêt public ou relevant de l’exercice de l’autorité publique,
  • L’intérêt légitime du responsable de traitement ou d’un tiers.

Le choix de la base légale n’est pas toujours facile. La CNIL propose de nombreuses publications pour vous aider à définir la base légale d’un traitement de données personnelles.

Je vous propose de voir ensemble les 4 bases légales les plus fréquentes sur un site Web :

Le consentement

Le contrat

L’intérêt légitime

L’obligation légale

Le consentement est une base légale courante sur un site Web

Le consentement était déjà inscrit dans la loi Informatique et Libertés. Le RGPD vient préciser les conditions de son recueil et assurer aux personnes concernées un contrôle renforcé sur leurs données, en leur permettant :

  • De comprendre le traitement qui sera fait de leurs données, 
  • De choisir sans contrainte d’accepter ou non ce traitement, 
  • Et de changer d’avis librement.

Le consentement est une base légale qui concerne la majorité des sites Web. On va la retrouver lorsque :

  • Il y a un dépôt de cookies soumis au consentement,
  • Le site invite à s’abonner à une newsletter,
  • Certains recueils de données via les formulaires sont basés sur le consentement, ce qui ne devrait pas être systématique, le contrat pouvant être un fondement juridique plus approprié.

Quels cookies sont concernés ?

Il peut s’agir de cookies propriétaires (first-party data) déposés par votre site et pour votre compte (comme les cookies de votre outil de mesure d’audience) ou de cookies tiers (third-party data) comme une Google Map ou une vidéo YouTube qui vont déposer des cookies pour le compte de la société Google.

Certains cookies sont exemptés de consentement. comme les cookies fonctionnels ou techniques ou les cookies de certains tiers mesureurs lorsqu’ils sont configurés en mode « suivi sans cookie », où les données collectées sont rendues anonymes (sans possibilité d’identifier la personne).

Il y aurait beaucoup à dire sur les cookies et le consentement lié à ceux-ci, ce qui donnera lieu à un prochain article.

L’obligation de recueil du consentement

Lorsque vous mettez en place un traitement de données personnelles avec le consentement comme base légale, vous devez recueillir ce consentement.

Le consentement recueilli doit être valable, facilement révocable, préalable au dépôt de cookies, et vous devez pouvoir apporter la preuve du consentement.

Voyons cela plus en détail…

La validité du consentement

« Le RGPD impose que le consentement soit libre, spécifique, éclairé et univoque. » (RGPD, Articles 4 et 7)

Sans le respect de ces 4 critères, le consentement n’est pas valable, même s’il est accordé par la personne concernée.

Un consentement libre est un consentement ni contraint, ni influencé. En d’autres termes, le refus de consentement doit être sans impact négatif sur la fourniture du service. Ainsi, vous ne pouvez pas empêcher la navigation sur votre site WordPress aux internautes ayant refusé de donner leur consentement pour le dépôt des cookies soumis au consentement.

On retrouve le modèle « Consentir ou Payer » dit aussi « Pay or Okay » sur les sites Web d’actualité qui reposent sur un modèle économique payant. Si vous ne payez pas d’abonnement, vous devrez accepter les cookies marketing du site et de ses (très) nombreux partenaires. Depuis 2024, ces sites doivent proposer une 3ème alternative, donnant lieu à des expériences de navigation avec de nombreuses publicités contextuelles.

Pour être spécifique, le consentement ne doit concerner qu’une seule finalité. Vous devez donc recueillir autant de consentements que de finalités.

Dans le cas d’un traitement avec plusieurs finalités, comme c’est souvent le cas du dépôt de cookies, l’internaute doit pouvoir exprimer son consentement pour chacune des finalités. Vous devez proposer une granularité par catégorie au minimum.

Vous recueillez le consentement pour des cookies marketing (par exemple, pour l’affichage d’une Google Map et la lecture d’une vidéo YouTube), et des cookies statistiques liés à votre outil de mesure d’audience ?

Votre bannière de consentement doit permettre à l’internaute de refuser ou d’accepter les cookies :

  • Au moins par catégorie (c’est-à-dire selon une segmentation « cookies marketing » et « cookies statistiques »).
  • Ou selon le partenaire (Google, Meta…)
  • Voire selon le service (Google Maps, Facebook, Instagram, LinkedIn, Google Analytics…).

Vous souhaitez offrir aux visiteurs de votre site la possibilité de s’abonner à votre newsletter et de recevoir des offres de vos partenaires ?

Vous ne pouvez pas proposer une seule case à cocher pour bénéficier des deux services. Vous devez offrir 2 cases distinctes : une case à cocher pour accepter de recevoir la newsletter, et une autre pour accepter de recevoir les offres de vos partenaires.

Les mentions d’informations doivent être distinctement affichées :

  • Elles doivent présenter au minimum : l’identité du responsable de traitement, la ou les finalité(s) du traitement, les catégories de données collectées, l’existence d’un droit de retrait du consentement.
  • Si le traitement fait l’objet de décisions individuelles automatisées, vous devez en préciser les éventuelles conséquences négatives pour les personnes.
  • Tout possible transfert de données hors Union européenne doit être mentionné.

Votre site WordPress intègre une Google Map ?

La société Google dépose des cookies soumis au consentement. Comme Google l’indique dans sa politique de confidentialité, ils ont des serveurs partout dans le monde et les données sont susceptibles d’être traitées hors UE. Vous devez indiquer, au moment de la collecte donc sur votre bannière de consentement, le possible transfert de données hors Union européenne.

Plusieurs sociétés partenaires déposent des cookies sur votre site ?

Nous avons vu plus haut que le consentement, pour être spécifique, nécessite une granularité de recueil par catégorie au minimum. Néanmoins, vous devez informer les internautes en citant nommément toutes les sociétés qui déposent des cookies sur votre site. Vous ne pouvez pas vous contenter d’une formulation générique comme « nos partenaires » ou d’en citer quelques exemples… Sans liste nominative, le consentement n’est pas éclairé.

Un consentement est univoque lorsque l’internaute manifeste son consentement via une déclaration ou un acte positif clair.

Comment recueillir un consentement univoque sur un site Web ?

L’internaute peut être invité à manifester son consentement de différentes façons :

  • En cliquant sur un bouton d’action explicitement intitulé et au design neutre (qui n’incite pas à accepter plutôt qu’à refuser),
  • En positionnant un bouton à bascule, dit aussi « toggle ». Celui-ci doit clairement exprimer le consentement selon sa position, par exemple avec une couleur verte pour l’acceptation et rouge pour le refus.
  • En cochant une case prévue à cet effet, par exemple lors de son abonnement à une newsletter.

Attention, ces éléments ne doivent jamais être pré-cochés ou pré-activés. C’est l’internaute qui, par un acte volontaire et univoque, fait la démarche de donner son consentement.

Enfin, vous ne pouvez pas considérer que, faute de refus de consentement ou en raison de la poursuite de la navigation sur votre site Web, le consentement serait accordé. Si l’internaute choisit de ne pas cocher la case, de fermer la bannière de consentement en cliquant sur la croix de fermeture, ou de cliquer sur « continuer sans accepter », alors il n’y a pas de consentement donné. Il vous appartient de configurer votre CMP (Consent Management Platform) de manière à bloquer le dépôt de cookies en l’absence du consentement.

Le consentement doit être facilement révocable

« Il doit être aussi simple de retirer son consentement que de le donner. » (RGPD)

Le consentement doit être facilement révocable, et à tout moment.

Pour cela, vous devez maintenir la bannière de consentement aux cookies accessible pendant toute la navigation sur votre site.

Chacune de vos newsletters doit présenter un lien de désabonnement direct. Vous ne pouvez pas mettre un lien renvoyant vers une page qui expliquerait comment se désabonner.

Cas où le consentement doit aussi être explicite

Le consentement est explicite quand il ne peut faire l’objet d’aucune mauvaise interprétation, c’est-à-dire quand il est donné de manière incontestable.

C’est un critère supplémentaire à ceux énumérés ci-dessus (libre, spécifique, éclairé, univoque et facilement révocable). Le consentement explicite fait partie des exceptions qui permettent de lever l’interdiction de traitement des données sensibles. Il concerne aussi les décisions entièrement automatisées.

Le consentement doit être préalable au dépôt de cookies

Le consentement doit être recueilli avant le dépôt de cookies. Vous devez configurer vos extensions et outils en conséquence (bannière de consentement, CAPTCHA de vos formulaires de contact, outil de mesure statistique…).

La complexité du consentement des mineurs

L’âge de la majorité numérique, fixé à 15 ans en France (RGPD, Article 8), diffère selon les pays européens. Pour que le consentement d’un mineur soit valable (on parle de mineur au sens de la majorité numérique, soit âgé de moins de 15 ans révolus en France), vous devez recueillir à la fois le consentement du mineur et celui de la personne titulaire de l’autorité parentale (avec la difficulté de s’assurer de la fonction effective de cette personne).

Vous proposez des séjours linguistiques pour des collégiens via votre site Web ?

En cas de recueil de consentement, vous vous exposez à une complexité technique et juridique :

  • Vous devez afficher une bannière de consentement tenant compte de l’âge de la majorité numérique du pays de visite,
  • Vous devez recueillir 2 consentements : celui du mineur ET celui du titulaire de l’autorité parentale.

Le plus simple est de vous adresser aux parents via une rédaction sans équivoque (indiquez « votre enfant a entre 12 et 15 ans ? » et non « tu as entre 12 et 15 ans ? »).

En cas de doute, n’hésitez pas à prendre conseil auprès d’un avocat spécialisé dans les questions RGPD.

Comment établir la preuve du consentement ?

Vous pouvez, pour démontrer qu’une personne a donné son consentement sur votre site Web :

  • Conserver les entrées de formulaires qui présentent les champs renseignés, dont la case de recueil du consentement,
  • Éditer une preuve de consentement via votre plateforme de gestion du consentement aux cookies. Celle-ci prouve l’état de vos efforts RGPD liés aux cookies à une date donnée.

Vous changez d’extension WordPress pour le recueil du consentement aux cookies ?

Il est prudent de conserver les preuves de consentement de l’ancienne extension utilisée.

En savoir plus sur le consentement

Je vous recommande cet article de la CNIL qui détaille le consentement comme base légale.

Le contrat comme base légale

La nécessité contractuelle dite aussi « le contrat » est bien souvent la base légale des formulaires de contact présents sur un site Web, la démarche étant prise à l’initiative de la personne :

  • Le recueil de leads au moyen de votre formulaire de contact pour vendre vos produits ou services,
  • Le recueil de candidatures (CV) pour un poste à pourvoir dans votre entreprise via un formulaire dédié…

On va distinguer 2 cas de figure :

  • Les mesures pré-contractuelles : renseigner son adresse pour l’établissement d’un devis, donner des informations pour recevoir une offre d’assurance, remplir un formulaire de contact auprès d’une entreprise qui vend des produits ou des services…
  • L’exécution d’un contrat ou les mesures contractuelles : récolter le nom et l’adresse en vue de la livraison d’un produit physique au domicile de l’internaute (site de e-commerce).

Vous recueillez des leads sur votre site Web en vue de vendre vos produits ou votre expertise ?

Le contrat est certainement la base légale de votre traitement de données personnelles.

En savoir plus sur le contrat comme base légale.

L’intérêt légitime comme base légale

L’intérêt légitime est une base légale qui peut vous concerner si vous utilisez votre CRM pour de la vente additionnelle sur votre fichier client. Ce traitement n’a pas lieu sur votre site Web, mais j’en parle car c’est souvent la suite d’une récolte de leads sur votre site, une fois que vous les avez convertis en clients.

Concrètement, si vous avez vendu un produit ou un service, cette base légale vous autorise à ensuite solliciter vos clients – mais pas vos prospects ! – pour un produit ou un service analogue, c’est-à-dire similaire ou en lien avec celui-ci.

Vous êtes une concession automobile et vous avez vendu un véhicule à une personne ?

Vous pouvez, sur la base de l’intérêt légitime, proposer à ce client des accessoires pour équiper son véhicule, ou un contrat d’assurance pour celui-ci, à condition que ce soit vous qui vendiez ces produits ou services (pas une entreprise partenaire).

Pour être légitime, l’intérêt doit bien évidemment être en rapport avec votre objet social. De plus, sachez que l’intérêt légitime du responsable de traitement ne doit jamais prévaloir sur les droits et intérêts des personnes concernées.

L’internaute doit pouvoir faire valoir à tout moment son droit d’opposition. Un moyen (email, formulaire…) doit figurer au sein de votre politique de confidentialité afin qu’il puisse tendre facilement à l’exercice de ce droit.

En savoir plus sur l’intérêt légitime comme base légale.

Le respect d’une obligation légale comme base légale

Certains traitements de données sur votre site Web peuvent être fondés sur le respect d’une obligation légale :

  • Le formulaire de rétractation sur votre site de e-commerce,
  • Le formulaire d’exercice des droits (si vous en avez un).

Est-ce à dire qu’il y a une obligation légale à avoir un formulaire d’exercice des droits ?

Non, vous avec obligation de proposer un moyen (ou plusieurs) qui permette aux personnes d’exercer leurs droits RGPD, mais ça peut être, par exemple, une adresse e-mail.

Vous avez défini la base légale de votre traitement ?

Bravo ! Je vous invite maintenant à déterminer sa finalité.

Vous avez besoin d’aide pour définir la base légale de votre traitement de données ?

Contactez-moi