Les bases d'un traitement de données personnelles conforme

Vous vous interrogez sur la conformité RGPD et ne savez pas par où commencer ? Voici ce qu’il faut savoir pour assurer un traitement de données personnelles conforme au RGPD :

• Article 5 : définit 7 principes clés, comme la transparence, la minimisation des données et la sécurité. C’est en quelque sorte l’âme du Privacy by design.

• Article 6 : établit les 6 bases légales pour traiter des données, dont le consentement et l’exécution d’un contrat.

• Contexte français : la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés complétée en 2019 reprend ces principes et définitions.

• Obligations : Les organisations doivent documenter leurs traitements pour garantir le respect des grands principes du RGPD énoncés dans les articles 5 et 6.

Ces règles s’appliquent à tous, qu’il s’agisse d’entreprises privées, d’organismes publics, ou d’association. Une application rigoureuse est indispensable pour protéger les droits des individus et éviter des conséquences financières et réputationnelles.

Article 5 RGPD : les principes d’un traitement de données personnelles conforme.

L’article 5 du RGPD établit les bases légales pour le traitement des données personnelles conforme, s’appliquant à toutes les organisations, qu’elles soient publiques ou privées. Ces règles imposent des obligations strictes, et les contrevenants s’exposent à des sanctions sévères. En effet, un grand nombre de sanctions en Europe sont infligées pour non respect de l’article 5.

Les 7 principes des traitements des données conformes au RGPD

L’article 5 du RGPD repose sur sept principes clés, chacun répondant à des exigences spécifiques pour encadrer la gestion des données personnelles.

• Licéité, loyauté et transparence : Les données doivent être traitées de manière légale et transparente. Comme le stipule le RGPD :

  « Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ».

• Limitation des finalités : Les données doivent être collectées pour des objectifs clairement définis et légitimes :

  « Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».

• Minimisation des données : Seules les informations strictement nécessaires doivent être collectées :

  « Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

• Exactitude : Les données doivent être exactes et mises à jour :

  « Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».

• Limitation de la conservation : Les données ne doivent pas être stockées au-delà de la durée nécessaire :

  « Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

• Intégrité et confidentialité : Une sécurité adaptée doit être mise en place pour protéger les données :

  « Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées ».

• Responsabilité : L’organisation doit prouver qu’elle respecte ces principes :

  « Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté ».

Ces principes définissent les bases des responsabilités des acteurs impliqués dans le traitement des données, détaillées ci-dessous.

Obligations du responsable de traitement et du sous-traitant

Le RGPD distingue clairement les rôles et responsabilités du responsable de traitement et du sous-traitant dans un traitement de données personnelles conforme.

• Le responsable de traitement est défini comme :

  « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

• Le sous-traitant, quant à lui, est :

  « Une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Voici un tableau synthétisant leurs responsabilités respectives dans le cadre d’un traitement de données personnelles :

Le RGPD renforce les obligations des sous-traitants par rapport à l’ancienne directive. Désormais, les deux parties peuvent être tenues responsables en cas de non-respect. L’article 83 précise que les amendes sont calculées en fonction du « degré de responsabilité du responsable du traitement ou du sous-traitant compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre ».

Exigences de transparence dans le contexte français

En France, la transparence occupe une place centrale, en partie grâce à une tradition forte de protection des données. La CNIL insiste sur l’importance de fournir aux citoyens des informations claires et accessibles concernant la gestion de leurs données, et rappelle que cette obligation est précisée par les articles 48 et 79 de la Loi Informatique et Libertés.

Cette exigence de transparence est illustrée par des sanctions récentes :

• Caloga : en mai 2025, ce courtier en données a écopé d’une amende de 80 000 euros pour avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable.

• Cosmospace et Télémaque : en septembre 2024, ces entreprises françaises spécialisées dans la voyance en ligne, condamnées à des amendes respectives de 250 000 et 150 000 euros pour avoir conservé des données personnelles de manière excessive, collecté des données sensibles sans consentement valable, et pour avoir manqué aux règles encadrant les opérations de prospection commerciale.

• Cegedim Santé : en septembre 2024, la CNIL a infligé une sanction de 800 000 euros à cet éditeur de logiciel à destination des professionnels de santé pour avoir traité sans autorisation les données de santé issues des activités de leur client professionnels.

Ces exemples montrent que la transparence ne se limite pas à une simple déclaration d’intention : elle implique de donner aux utilisateurs un contrôle concret sur leurs données.

Article 6 RGPD : les bases légales pour le traitement des données personnelles conforme

L’article 6 du RGPD fixe les bases juridiques nécessaires pour toute opération impliquant des données personnelles. Avant de collecter, utiliser ou conserver ces données, il est impératif de s’appuyer sur une base légale précise. Ce choix détermine non seulement les obligations des organisations, mais aussi les droits des personnes concernées.

Les six bases légales en détail

Le RGPD propose six bases légales distinctes pour encadrer le traitement des données personnelles. Chaque organisation doit identifier et documenter la base qui s’applique à son traitement avant de démarrer.

• Consentement : cette base repose sur l’accord explicite de la personne concernée. Selon le RGPD, il s’agit d’une décision libre, spécifique, éclairée et univoque :

  « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

  Les cases pré-cochées, le silence ou l’inactivité ne sont pas valables, comme le précise le considérant 32 du RGPD :

  « Le silence, les cases cochées par défaut ou l’inactivité ne devraient dès lors pas constituer un consentement ».

• Mesure contractuelle ou pré-contractuelle : utilisée lorsque le traitement est indispensable à l’exécution ou à la préparation d’un contrat.

• Obligation légale : appliquée pour respecter une exigence légale, mais distincte des obligations contractuelles.

• Sauvegarde des intérêts vitaux : justifiée dans des situations d’urgence où la vie d’une personne est en danger.

• Mission d’intérêt public : utilisée pour des traitements liés à une mission d’intérêt général ou à l’exercice de l’autorité publique, même par une organisation privée chargée de la mission d’intérêt public.

• Intérêt légitime : permet le traitement si les intérêts du responsable ou d’un tiers priment sur les droits et libertés des personnes concernées. Cependant, cette base n’est pas accessible aux autorités publiques dans le cadre de leurs missions officielles.

Il est important de noter que ces bases ne sont pas hiérarchisées. Le choix dépend des spécificités de chaque situation.

Consentement valide pour le traitement conforme des données personnelles

En France, la Loi Informatique et Libertés, mise à jour pour s’aligner sur le RGPD, renforce les critères d’un consentement valide. Celui-ci doit être libre, spécifique, éclairé et univoque (Article 7 de la LIL).

Les organisations doivent obtenir un consentement actif (« opt-in ») et être en mesure de démontrer le recueil du consentement. Cependant, si le traitement concerne un grand nombre de personnes, dont les données ne sont pas directement identifiantes, il n’est pas obligatoire d’être en mesure de démontrer le consentement individuel. En effet, dans cette situation, la preuve du processus de recueil du consentement peut être suffisant.

Attention ! Les pratiques telles que l’« opt-out » ou les mécanismes passifs sont strictement interdites pour se prévaloir d’un recueil de consentement conforme.

En cas de retrait du consentement, les organisations doivent proposer un processus facile à utiliser par les personnes. Ce retrait doit être aussi simple que l’acte initial de consentement.

Différences entre secteurs public et privé pour le choix des bases légales

Les applications pratiques des bases légales varient entre le secteur public et le secteur privé, reflétant leurs missions respectives.

• Secteur public : Les traitements reposent principalement sur la mission d’intérêt public, l’obligation légale et, en cas d’urgence, la sauvegarde des intérêts vitaux. Par exemple, le Pôle d’Expertise de la Régulation Numérique (PEReN) est autorisé à réutiliser des données publiques en ligne pour développer des outils de régulation, conformément à la loi n° 2021-1382 et au décret n° 2022-603. Cet exemple illustre l’utilisation de la base légale « mission d’intérêt public ».

• Secteur privé : Les entreprises privilégient le consentement, l’exécution de contrat et l’intérêt légitime. Le consentement est souvent utilisé pour des actions comme les campagnes marketing, les newsletters ou l’utilisation de cookies non essentiels. L’exécution de contrat justifie des traitements liés à la fourniture de services ou à la livraison de produits. L’intérêt légitime, quant à lui, peut couvrir des besoins comme la sécurité informatique ou la prévention des fraudes.

La CNIL souligne l’importance de choisir la base légale adéquate :

« Le choix de la base légale constitue donc une étape essentielle pour assurer la conformité du traitement. Selon la base légale, les obligations de l’organisation et les droits des personnes peuvent varier ».

Ce choix s’inscrit dans la logique de responsabilité et de transparence déjà évoquée dans l’article 5 du RGPD. Par exemple, le droit à l’effacement varie selon la base légale : les données basées sur le consentement peuvent être supprimées en cas de retrait, tandis que celles liées à une obligation légale ne le peuvent pas tant que cette obligation existe.