Les bases légales du RGPD : les 6 fondements expliqués
Tout traitement de données personnelles doit reposer sur une base légale : le motif qui le rend licite. Confondre les six bases prévues par le RGPD — en particulier consentement et intérêt légitime — est une des erreurs les plus fréquentes. Ce guide les présente simplement et aide à choisir la bonne pour chaque traitement.
Les six bases légales prévues par le RGPD
- Le consentement : la personne a donné son accord libre, spécifique et éclairé.
- L'exécution d'un contrat : le traitement est nécessaire pour fournir le service demandé (livrer une commande, par exemple).
- L'obligation légale : une loi impose le traitement (facturation, obligations comptables).
- La sauvegarde des intérêts vitaux : traitement nécessaire pour protéger la vie d'une personne.
- La mission d'intérêt public : traitement nécessaire à une mission relevant de l'autorité publique.
- L'intérêt légitime : un intérêt réel du responsable de traitement, mis en balance avec les droits de la personne.
Comment choisir la bonne base
Pour un site professionnel courant, trois bases couvrent la grande majorité des cas. Le contrat justifie la gestion d'une commande ou d'un compte client. L'obligation légale justifie la conservation des factures. L'intérêt légitime peut justifier une prospection auprès de clients existants ou une mesure de sécurité, à condition de rester proportionné et prévisible pour la personne. Le consentement, lui, s'impose dès qu'aucune des cinq autres bases ne s'applique naturellement — c'est notamment le cas des cookies non essentiels et de la prospection auprès de prospects.
La question à se poser : le traitement est-il indispensable pour exécuter ce que la personne a demandé, ou pour respecter une obligation ? Si oui, pas besoin de consentement. Sinon, le consentement — ou à défaut l'intérêt légitime, sous conditions strictes — devient nécessaire.
L'erreur la plus fréquente : confondre consentement et intérêt légitime
Beaucoup de sites cochent « consentement » par réflexe pour tous leurs traitements, y compris ceux qui reposent en réalité sur un contrat ou une obligation légale — ce qui complique inutilement la gestion des droits (un consentement peut être retiré à tout moment, pas une obligation contractuelle). À l'inverse, invoquer l'intérêt légitime pour justifier un traceur publicitaire, qui exige en réalité un consentement, est une non-conformité fréquemment relevée.
Pourquoi ce choix a des conséquences concrètes
La base légale retenue détermine les droits dont dispose la personne. Avec un consentement, elle peut le retirer à tout moment. Avec un intérêt légitime, elle dispose d'un droit d'opposition renforcé. Avec un contrat ou une obligation légale, l'effacement anticipé des données peut être refusé si le traitement reste nécessaire. Ce choix conditionne aussi ce qui doit figurer dans votre politique de confidentialité et votre registre des traitements : chaque traitement doit y indiquer sa base légale.
Vérifier les bases légales de votre site
Le choix des bases légales est une décision organisationnelle, qui ne se lit pas directement depuis l'extérieur d'un site. En revanche, une analyse automatisée révèle les traitements réellement en place (cookies, formulaires, comptes) : c'est un point de départ utile pour vérifier, traitement par traitement, que la base légale invoquée dans votre politique de confidentialité correspond bien à ce qui est techniquement observé.
- Le RGPD prévoit six bases légales : consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêt légitime.
- Pour un site courant, contrat, obligation légale et consentement couvrent l'essentiel des traitements.
- Confondre consentement et intérêt légitime est l'erreur la plus fréquente, notamment pour les cookies et la prospection.
- La base légale choisie détermine les droits de la personne et doit figurer dans la politique de confidentialité et le registre.
Questions fréquentes
Sur le même sujet
Sources & références officielles
Votre site est-il concerné ?
Analysez-le gratuitement en 30 secondes : cookies, sécurité e-mail, transferts hors UE et plus encore.
Ce guide est une aide à la compréhension et à la conformité. Il ne constitue pas un avis juridique. Mis à jour le 17 juillet 2026.