Guide de l'article 6 du RGPD

Les six bases légales du traitement sous le RGPD — ce qu'elles signifient et comment les appliquer correctement

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations multi-entités à documenter et gérer les bases légales de l'article 6 du RGPD au sein de chaque filiale.

Chaque activité de traitement dans votre organisation a besoin d'une base légale. Choisir la mauvaise — ou ne pas la documenter — est la lacune de conformité au RGPD la plus fréquemment relevée par les auditeurs. Ce guide détaille les six bases, explique quand chacune s'applique et montre comment les organisations dotées de structures d'entités complexes les conservent documentées et défendables.

Plateforme hébergée en Suisse

Infrastructure alignée sur la norme ISO 27001

La confiance d'organisations multi-entités à travers l'Europe

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Pourquoi le choix de la base légale est le fondement de la conformité au RGPD

L'article 6, paragraphe 1, du RGPD dispose que le traitement de données à caractère personnel n'est licite que si — et dans la mesure où — au moins l'une des six conditions est remplie. Ce n'est ni facultatif, ni flexible, ni quelque chose que vous pouvez régulariser après coup une fois qu'une autorité de contrôle frappe à votre porte.

Pour les organisations qui gèrent plusieurs filiales dans différentes juridictions, le défi ne se résume pas à choisir une seule fois la bonne base. Il s'agit de garantir que chaque entité, chaque activité de traitement et chaque unité opérationnelle a correctement documenté sa base légale — et que ces registres restent à jour à mesure que les traitements évoluent.

L'ampleur du problème

78 % des organisations multi-entités gèrent encore leur registre des activités de traitement dans des tableurs. Lorsque les bases légales se trouvent dans la colonne G d'un fichier Excel partagé, elles ne sont ni revues, ni mises à jour, ni remises en question. Elles se dégradent en silence jusqu'à ce qu'un audit révèle la lacune.

Ce qui dérape dans la pratique

Le scénario d'échec le plus fréquent n'est pas de choisir la mauvaise base légale. C'est de ne jamais en choisir une explicitement. Des activités de traitement sont créées, des flux de données sont établis, et le champ de la base légale reste vide ou bascule par défaut sur « consentement » parce que quelqu'un a supposé que c'était toujours le choix le plus sûr.

Le deuxième scénario d'échec le plus courant : choisir une base légale au lancement d'une activité de traitement et ne jamais la réexaminer, même lorsque la finalité, la portée ou les catégories de données évoluent au fil du temps. Une base valable au moment où une activité de traitement a été conçue peut ne plus s'appliquer deux ans plus tard.

Base légale 2 sur 6

Contrat

Article 6, paragraphe 1, point b) — Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.

Quand le contrat s'applique

Cette base couvre les traitements réellement nécessaires à l'exécution de vos obligations contractuelles envers la personne concernée — ou à l'exécution de mesures précontractuelles qu'elle a demandées. L'accent est mis sur la notion de « nécessaire » : ce n'est pas parce qu'un traitement de données est mentionné dans un contrat qu'il est nécessaire à son exécution.

Exemples pratiques

  • Traiter l'adresse de livraison d'un client pour lui expédier un produit commandé — nécessaire à l'exécution du contrat
  • Traiter les coordonnées bancaires d'un collaborateur pour verser son salaire — nécessaire au contrat de travail
  • Effectuer une évaluation de solvabilité sur un demandeur de crédit à sa demande — mesures précontractuelles
  • Envoyer des e-mails marketing à des clients existants — non nécessaire au contrat, cette base ne s'applique donc pas

Le test de « nécessité »

Le Comité européen de la protection des données (CEPD) a clairement indiqué que cette base ne peut justifier un traitement simplement utile ou mentionné dans le contrat. Le traitement doit être objectivement nécessaire — autrement dit, le contrat ne peut être exécuté sans lui. Ajouter à vos conditions de service une clause indiquant « nous traitons vos données à des fins de profilage » ne rend pas le profilage nécessaire à l'exécution du contrat.

Erreur fréquente

Étendre l'article 6, paragraphe 1, point b) à tous les traitements mentionnés dans les conditions de service. Si vous incluez la publicité comportementale dans vos conditions, cela ne la rend pas « nécessaire » au service. Le CEPD a traité ce point spécifiquement dans ses lignes directrices 2/2019, constatant que de nombreux services en ligne s'appuyaient à tort sur l'exécution du contrat pour des traitements qui devraient relever du consentement ou des intérêts légitimes.

La complexité multi-entités

Dans les structures de groupe, l'entité contractante et l'entité qui effectue le traitement sont souvent différentes. Si le contrat de votre client est conclu avec votre filiale britannique mais que le traitement des données a lieu au niveau du groupe en Suisse, vous devez clarifier quelle entité est le responsable du traitement, quelle base s'applique à chaque étape du traitement, et si un contrat de sous-traitance ou un accord de responsabilité conjointe est nécessaire.

Base légale 4 sur 6

Intérêts vitaux

Article 6, paragraphe 1, point d) — Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.

Quand les intérêts vitaux s'appliquent

Il s'agit de la base légale la plus restreinte. Les « intérêts vitaux » désignent des situations de vie ou de mort — littéralement. Cette base s'applique lorsque le traitement est nécessaire pour protéger la vie d'une personne et qu'aucune autre base légale ne peut être invoquée. Le RGPD précise expressément que cette base ne devrait être utilisée que lorsque le traitement « ne peut manifestement pas être fondé sur une autre base juridique ».

Exemples pratiques

  • Partager le dossier médical d'un patient avec les services d'urgence lorsqu'il est inconscient et ne peut pas consentir
  • Traiter des données à caractère personnel lors d'une catastrophe naturelle pour aider à localiser et secourir les victimes
  • Communiquer le groupe sanguin d'un collaborateur aux secouristes après un accident sur le lieu de travail

Pourquoi cette base est rarement appropriée

Dans la grande majorité des scénarios de traitement de données commerciales, les intérêts vitaux ne s'appliquent pas. Si vous pouvez anticiper et obtenir le consentement, si vous disposez d'une relation contractuelle, ou si une autre base convient — utilisez-la plutôt. Les intérêts vitaux sont un dernier recours, pas un raccourci de commodité.

Pour la plupart des organisations

Si vous documentez les intérêts vitaux comme base légale pour des activités de traitement courantes, quelque chose ne va pas. Cette base ne devrait apparaître que rarement — voire jamais — dans le registre des activités de traitement d'une organisation type. Sa présence dans votre registre des traitements devrait déclencher une alerte de réexamen, et non passer inaperçue.

Base légale 5 sur 6

Mission d'intérêt public

Article 6, paragraphe 1, point e) — Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Quand la mission d'intérêt public s'applique

Cette base concerne principalement les autorités publiques et les organisations exerçant des fonctions de nature publique. La mission ou l'autorité doit avoir un fondement clair dans la loi — il ne suffit pas d'affirmer que votre traitement sert l'intérêt public au sens général. Il doit exister un fondement juridique spécifique pour la fonction que vous exercez.

Exemples pratiques

  • Une administration publique traitant les données des citoyens pour gérer des prestations de sécurité sociale
  • Une université publique traitant les données des étudiants pour la gestion des diplômes et la recherche pédagogique
  • Un organisme de régulation traitant des données dans le cadre de ses fonctions de surveillance
  • Une société privée mandatée par l'État pour traiter des données de recensement — agissant en vertu d'une autorité publique déléguée

Pertinence pour les organisations du secteur privé

La plupart des sociétés privées ne s'appuieront pas sur cette base pour leurs activités de traitement principales. Elle peut toutefois être pertinente lorsque des entités privées exercent des fonctions déléguées par des autorités publiques, ou lorsque le traitement est effectué en vertu d'un pouvoir statutaire spécifique. Si vous êtes une organisation privée envisageant cette base, identifiez la disposition légale précise qui vous investit de la fonction ou de l'autorité concernée.

Erreur fréquente

Des sociétés privées invoquant la mission d'intérêt public parce que leur traitement présente un bénéfice public indirect. Exploiter une application de santé qui « améliore les résultats de santé publique » ne signifie pas que vous accomplissez une mission d'intérêt public. Cette base exige un mandat légal spécifique ou une autorité déléguée — et non une simple revendication générale de bénéfice sociétal.

Base légale 6 sur 6

Intérêts légitimes

Article 6, paragraphe 1, point f) — Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Quand les intérêts légitimes s'appliquent

Il s'agit de la base légale la plus flexible — et, par conséquent, la plus fréquemment mal appliquée. Elle peut couvrir un large éventail de traitements, de la prévention de la fraude et de la sécurité des réseaux au marketing direct auprès de clients existants et aux transferts de données intragroupe. Mais la flexibilité s'accompagne d'une exigence : vous devez procéder à une mise en balance avant de vous en prévaloir.

Le test en trois étapes

Toute évaluation des intérêts légitimes doit répondre à trois questions :

  • Test de finalité — Existe-t-il un intérêt légitime ? Est-il réel et clairement formulé, et non hypothétique ou vague ?
  • Test de nécessité — Le traitement est-il réellement nécessaire pour atteindre cet intérêt ? Pourriez-vous raisonnablement atteindre la même finalité avec moins de données ou un traitement moins intrusif ?
  • Mise en balance — Les intérêts, droits et libertés de la personne prévalent-ils sur votre intérêt légitime ? Tenez compte de la nature des données, des attentes de la personne concernée, de l'impact sur elle et des garanties que vous avez mises en place.

Exemples pratiques

  • Traiter les données des collaborateurs à des fins de surveillance de la sécurité informatique — intérêt légitime à protéger les réseaux de l'entreprise, mis en balance avec les attentes des collaborateurs en matière de vie privée grâce à des politiques claires
  • Envoyer du marketing direct à des clients existants pour des produits similaires — intérêt légitime reconnu au considérant 47, sous réserve du droit d'opposition
  • Partager des données clients au sein d'un groupe de sociétés à des fins administratives internes — explicitement reconnu au considérant 48 comme un intérêt légitime
  • Prévention et détection de la fraude — un intérêt légitime bien établi

Considérant 48 : « Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. »

Considérant 48 du RGPD — pertinent pour les organisations multi-entités

Erreur fréquente

S'appuyer sur les intérêts légitimes sans documenter la mise en balance. Si vous ne pouvez pas produire une évaluation des intérêts légitimes (LIA) écrite qui parcourt les trois volets du test, vous n'avez pas correctement établi cette base. De nombreuses organisations invoquent oralement les intérêts légitimes sans disposer d'une évaluation documentée — ce qui signifie qu'elles n'ont aucune preuve à présenter à une autorité de contrôle.

La complexité multi-entités

Les intérêts légitimes sont particulièrement importants — et particulièrement complexes — pour les groupes de sociétés. Les transferts de données intragroupe reposent souvent sur cette base, mais chaque entité a besoin de sa propre évaluation. L'intérêt légitime de la société mère à centraliser les données RH ne prévaut pas automatiquement sur les droits à la vie privée des collaborateurs d'une filiale opérant dans une juridiction offrant des protections plus strictes. Chaque transfert nécessite sa propre mise en balance documentée.

Comment Priverion vous aide

La rédaction d'AIPD et de LIA assistée par l'IA de Priverion pré-remplit l'évaluation des intérêts légitimes en trois étapes à partir des détails de votre activité de traitement, des catégories de données et des types de personnes concernées. Votre DPD relit et finalise — réduisant la durée de l'évaluation de plusieurs jours à quelques heures tout en maintenant un contrôle humain complet. Toutes les évaluations sont reliées à l'activité de traitement correspondante dans votre registre des traitements pour une traçabilité d'audit complète.

Comment choisir la bonne base légale — un processus de décision pratique

Choisir une base légale n'est pas un exercice ponctuel. Cela devrait se faire dès la conception de chaque nouvelle activité de traitement et être réexaminé chaque fois que la finalité, la portée ou le contexte du traitement change. Voici le processus de décision que nous recommandons :

Étape 1 : définir la finalité avec précision

Avant de pouvoir sélectionner une base, vous devez avoir une clarté absolue sur la raison pour laquelle vous traitez des données à caractère personnel. « À des fins professionnelles » n'est pas une finalité. « Traiter la paie mensuelle des collaborateurs de notre filiale allemande » en est une. Plus votre finalité est précise, plus il est facile d'identifier la base correcte.

Étape 2 : écarter les bases qui, à l'évidence, ne s'appliquent pas

La plupart des activités de traitement peuvent immédiatement exclure les intérêts vitaux (pas de situation de vie ou de mort) et la mission d'intérêt public (ni autorité publique, ni fonction déléguée). Il reste alors généralement quatre candidates : le consentement, le contrat, l'obligation légale et les intérêts légitimes.

Étape 3 : vérifier d'abord l'existence d'une obligation légale

Si une législation spécifique impose le traitement, retenez l'obligation légale. C'est la base la plus claire — pas de mise en balance, pas de risque de retrait du consentement, et la documentation est simple : citez la loi et la disposition.

Étape 4 : vérifier la nécessité contractuelle

Si le traitement est réellement nécessaire à l'exécution d'un contrat conclu avec la personne concernée, retenez le contrat. Rappelez-vous le test de nécessité : le contrat ne pourrait pas être exécuté sans ce traitement précis.

Étape 5 : évaluer si le consentement est approprié

Le consentement fonctionne lorsque vous pouvez offrir un choix réel, lorsque le retrait ne posera pas de problème et lorsqu'il n'y a pas de déséquilibre des pouvoirs. Si l'une de ces conditions n'est pas remplie, le consentement n'est pas le bon choix — même s'il semble être l'option « la plus sûre ».

Étape 6 : envisager les intérêts légitimes en dernier

Si aucune autre base ne convient naturellement, les intérêts légitimes peuvent s'appliquer — mais seulement si vous pouvez réussir le test en trois étapes et le documenter. N'utilisez pas les intérêts légitimes comme une base par défaut fourre-tout. Recourez-y lorsque vous avez un intérêt réel et spécifique capable de résister à l'examen.

Pour les organisations multi-entités

Chaque filiale peut avoir à effectuer cette détermination de manière indépendante pour les activités de traitement qu'elle maîtrise. Une politique de confidentialité de groupe est un bon point de départ, mais elle ne remplace pas une documentation au niveau de chaque entité. Priverion permet à chaque entité de documenter ses choix de base légale au sein d'une plateforme unifiée — offrant aux DPD de groupe une visibilité sur l'ensemble des entités tout en conservant la précision attendue par les autorités de contrôle.

Pièges décisionnels courants à éviter

  • Recourir au consentement par défaut pour tout — le consentement n'est pas toujours la base la plus sûre, surtout lorsque son retrait perturberait un traitement légitime
  • Choisir une base a posteriori — la base doit être déterminée avant le début du traitement, et non après une demande d'audit
  • Changer de base après coup — sans être explicitement interdit, changer de base légale est un signal d'alerte pour les autorités et suggère que votre évaluation initiale était insuffisante
  • Ignorer les catégories particulières de données — l'article 9 exige une condition supplémentaire en plus de votre base de l'article 6 lors du traitement de données sensibles (santé, données biométriques, origine raciale/ethnique, etc.)
  • Omettre de réexaminer — une base appropriée au lancement du traitement peut ne plus s'appliquer si la finalité, la portée ou le contexte ont changé

Ce qu'exige réellement la gestion de la base légale à grande échelle

Identifier la bonne base légale n'est que le début. La documenter, la relier à chaque activité de traitement et la conserver défendable au sein de chaque entité de votre groupe — c'est là que la plupart des programmes de protection des données échouent.

Une base légale reliée à chaque activité de traitement

Chaque entrée de votre registre des activités de traitement requiert automatiquement le choix d'une base légale. Aucun enregistrement orphelin. Aucun traitement non documenté. Les auditeurs voient une correspondance complète et structurée entre la base de l'article 6 et l'activité précise qu'elle autorise — au sein de chaque filiale de votre groupe.

100 % de taux de recertification du registre des traitements, entièrement automatisé

AYA — obtenu grâce aux flux de recertification automatisés de Priverion

Recommandations de base légale assistées par l'IA

Lorsque les unités opérationnelles créent de nouvelles activités de traitement, l'IA de Priverion suggère la base légale la plus appropriée à partir de la description du traitement, des catégories de données et des types de personnes concernées. Votre DPD relit et approuve — l'IA assiste, les humains décident. Aucune donnée client n'est utilisée pour entraîner les modèles. Tout le traitement reste au sein de l'infrastructure suisse.

60 % de réduction du temps administratif de conformité

Constructeur aéronautique — six premiers mois après la mise en œuvre

Déclenchement automatisé d'AIPD pour les bases à haut risque

Sélectionnez l'intérêt légitime ou le consentement pour des catégories particulières de données et la plateforme signale automatiquement l'activité pour une analyse d'impact relative à la protection des données (AIPD). La rédaction d'AIPD assistée par l'IA pré-remplit l'évaluation des risques, les contrôles de proportionnalité et les recommandations de garanties — réduisant le délai entre le déclenchement et l'évaluation finalisée de quelques semaines à quelques heures.

Plus de 200 heures économisées dans la préparation à la conformité

Medtec — préparation à la certification ISO 27001 avec Priverion

Visibilité à l'échelle du groupe sur toutes les entités

Un tableau de bord unique montre la base légale sur laquelle chaque filiale s'appuie pour chaque activité de traitement. Repérez instantanément les incohérences — si votre entité allemande utilise le consentement pour la surveillance des collaborateurs tandis que votre entité suisse utilise l'intérêt légitime pour la même activité, vous le verrez avant l'auditeur. Un reporting prêt pour le conseil d'administration présente votre posture de conformité d'un coup d'œil.

Support DPD 24h/24 et 7j/7 sur plusieurs entités

Trapeze — supervision continue rendue possible par Priverion

Des dossiers de preuves prêts pour l'audit, à la demande

Lorsqu'une autorité de contrôle demande la documentation de vos décisions de base légale, générez un dossier de preuves complet en quelques minutes — et non en plusieurs semaines comme lorsque les bases légales sont suivies dans 47 tableurs. Chaque enregistrement comprend la base retenue, la justification, le relecteur, la date et toute évaluation des intérêts légitimes ou AIPD associée.

100 % de couverture de l'évaluation des risques fournisseurs

Zurzach Care — documentation fournisseurs complète grâce à Priverion

Souveraineté des données suisse par défaut

Vos enregistrements de base légale, la documentation de vos activités de traitement et vos preuves de conformité ne quittent jamais l'infrastructure suisse. Dans un contexte post-Schrems II, où les transferts transfrontaliers de données restent juridiquement incertains, un hébergement en Suisse n'est pas une simple case à cocher — c'est une garantie structurelle. Vos dossiers de conformité sont protégés par certaines des lois sur la protection des données les plus strictes au monde.

Conçu en Suisse, hébergé en Suisse, résidence des données en Europe

Infrastructure Priverion — toutes les données traitées en Suisse

200+

Heures économisées sur la gestion du registre des traitements

Medtec a récupéré plus de 200 heures lors de sa préparation à la certification ISO 27001 en remplaçant la tenue manuelle des registres par des flux de recertification automatisés — six premiers mois

60%

Coût total inférieur par rapport à OneTrust

D'après une analyse comparative des tarifs pour des déploiements multi-entités (10 à 50 filiales) — tarification par entité, sans piège d'extension par utilisateur ou par module

3 mois

D'avance sur le calendrier de la certification ISO 27001

Medtec a accéléré de 3 mois le calendrier de sa certification ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion

Comparatif

Pourquoi les équipes mid-market passent de OneTrust à Priverion

OneTrust a été conçu pour la complexité — et les budgets — des entreprises du Fortune 500. Si vous gérez la protection des données pour 5 à 50 filiales, il vous faut des capacités de niveau entreprise sans la lourdeur qui les accompagne.

L'expérience OneTrust

Tarification par utilisateur et par module

Les coûts grimpent de façon imprévisible à mesure que vous ajoutez des utilisateurs ou des modules. Les directeurs financiers ne peuvent pas anticiper les dépenses annuelles, car chaque nouveau collaborateur déclenche une discussion tarifaire.

Siège aux États-Unis, hébergement aux États-Unis

Dans un contexte post-Schrems II, un hébergement de données aux États-Unis crée une complexité juridique supplémentaire pour les organisations européennes qui gèrent des transferts transfrontaliers de données.

Conçu pour le Fortune 500

Riche en fonctionnalités au point d'en être écrasant. Les équipes mid-market finissent par payer pour des modules ESG, des lignes d'alerte éthique et de gestion du consentement aux cookies qu'elles n'utilisent jamais.

Une mise en œuvre de plusieurs mois

Un déploiement type en entreprise nécessite des consultants de mise en œuvre dédiés, des services professionnels sur mesure et plus de 6 mois avant d'en tirer de la valeur.

Plus de 200 intégrations superficielles

Une longue liste de connecteurs fait bonne impression sur le papier, mais génère une charge de maintenance. De nombreuses intégrations restent en surface et exigent un travail sur mesure continu pour demeurer fonctionnelles.

L'expérience Priverion

Tarification prévisible, par société

Basée sur le nombre d'entités et la taille de l'organisation — ni par utilisateur ni par module. Ajoutez autant d'utilisateurs que nécessaire sans mauvaise surprise tarifaire.

Conçu en Suisse, hébergé en Suisse

La résidence des données en Europe n'est pas une case à cocher marketing — c'est un avantage juridique. L'ensemble du traitement des données se fait au sein de l'infrastructure suisse, offrant la juridiction de protection des données la plus stricte d'Europe.

Conçu sur mesure pour les groupes mid-market

Chaque fonctionnalité existe parce qu'un DPD gérant la conformité multi-entités en avait besoin. Aucune surcharge, aucun module que vous n'utiliserez jamais. Nous ne couvrons ni l'ESG, ni les lignes d'alerte éthique, ni la gestion du consentement aux cookies — et c'est un choix délibéré.

Opérationnel en quelques semaines

Un constructeur aéronautique a réduit son temps administratif de conformité de 60 % au cours de ses six premiers mois. La mise en œuvre se mesure en semaines, pas en trimestres — avec un accompagnement guidé, et non une mission de conseil.

Constructeur aéronautique — six premiers mois après le déploiement

Des intégrations approfondies là où elles comptent

Nous nous intégrons en profondeur aux systèmes qui pilotent les flux de protection des données — RH, achats, gestion des actifs informatiques — plutôt que d'offrir 200 connecteurs superficiels qui génèrent une charge de maintenance.

Vous envisagez de changer ? La plupart des équipes migrent entièrement en moins de 4 semaines.

Réserver une présentation de 30 min

Téléchargez le cadre de décision sur la base légale

Un arbre de décision structuré, d'une page, qui guide votre équipe dans le choix de la base légale pour toute activité de traitement — conçu pour les DPD gérant la conformité multi-entités.

  • Arbre de décision étape par étape couvrant les six bases de l'article 6, paragraphe 1
  • Liste de contrôle de documentation pour chaque base
  • Signaux d'alerte indiquant que vous avez choisi la mauvaise base
  • Couche dédiée aux catégories particulières de données — conditions de l'article 9
  • Points d'attention multi-entités pour une cohérence à l'échelle du groupe
Télécharger le cadre

Sans formulaire d'inscription. Téléchargement direct du PDF. Si vous souhaitez une présentation de la façon dont Priverion automatise le suivi de la base légale au sein de votre groupe, réservez une session de 30 minutes.

Cessez de gérer la protection des données dans des tableurs

Découvrez à quoi ressemble une gestion de la protection des données à l'échelle du groupe lorsqu'elle fonctionne vraiment

En 30 minutes, nous parcourrons votre configuration multi-entités spécifique et vous montrerons comment des équipes comme celle d'un constructeur aéronautique ont réduit leur temps administratif de conformité de 60 % — et comment vos DPD peuvent consacrer leur temps à un travail stratégique plutôt qu'à courir après les recertifications.

Des semaines, pas des mois

Délai moyen de mise en service

Pas de tarification par utilisateur

Des coûts prévisibles qui évoluent avec le nombre d'entités

100 % hébergé en Suisse

Résidence des données en Europe garantie

Réserver une présentation de 30 minutes

Aucun engagement requis. Nous adapterons la session à votre structure d'entités et à vos priorités de conformité.

À propos de cette page — références, définitions et FAQ

Points clés — Les bases légales du RGPD en 2026

Tout traitement sous le RGPD doit reposer sur l'une des six bases légales définies à l'article 6, paragraphe 1. Choisir la mauvaise base — ou n'en documenter aucune — est la lacune de conformité la plus fréquemment relevée lors des audits des autorités de contrôle. Les organisations opérant via plusieurs entités juridiques sont confrontées à une complexité supplémentaire, car chaque responsable du traitement doit justifier et consigner sa base légale de manière indépendante. Une plateforme GRC centralisée et hébergée en Suisse comme Priverion permet une gestion du registre des traitements propre à chaque entité, un suivi automatisé de la base légale et des pistes d'audit inter-entités.

Définitions

Qu'est-ce qu'une base légale sous le RGPD ?

La base légale désigne l'un des six fondements juridiques énumérés à l'article 6, paragraphe 1, du RGPD qu'un responsable du traitement doit identifier et documenter avant de traiter des données à caractère personnel. Les six bases sont : le consentement, l'exécution d'un contrat, l'obligation légale, les intérêts vitaux, la mission d'intérêt public et les intérêts légitimes. [Lignes directrices du CEPD]

Qu'est-ce qu'un registre des activités de traitement (registre des traitements) ?

Un registre des activités de traitement est un registre obligatoire au titre de l'article 30 du RGPD qui documente chaque activité de traitement, sa finalité, les catégories de personnes concernées et de données à caractère personnel, les destinataires, les transferts, les durées de conservation et la base légale invoquée.

Qu'est-ce qu'une évaluation des intérêts légitimes (LIA) ?

Une évaluation des intérêts légitimes est une analyse structurée et documentée requise lorsqu'on s'appuie sur l'article 6, paragraphe 1, point f). Elle comprend trois étapes : (1) identifier l'intérêt légitime, (2) démontrer la nécessité et (3) mettre l'intérêt en balance avec les droits et libertés de la personne concernée. Le CEPD attend que les LIA soient consignées et disponibles aux fins de contrôle par les autorités.

Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?

Une analyse d'impact relative à la protection des données est requise au titre de l'article 35 du RGPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Les AIPD doivent documenter la base légale, la nécessité, la proportionnalité et les mesures d'atténuation des risques de l'activité de traitement.

Statistiques et contexte répressif

Selon le rapport IAPP-EY 2023 sur la gouvernance de la vie privée, 78 % des organisations multi-entités gèrent encore leur registre des activités de traitement dans des tableurs plutôt que sur des plateformes GRC dédiées. Le GDPR Enforcement Tracker (tenu par CMS Law) recensait plus de 4,5 milliards d'euros d'amendes cumulées au titre du RGPD à la fin de 2024, l'« absence de base juridique suffisante pour le traitement » étant la catégorie d'infraction la plus fréquemment citée. Le Comité européen de la protection des données a relevé, dans sa contribution de 2023 à l'évaluation du RGPD, que la documentation de la base légale demeure une faiblesse systémique dans les États membres de l'UE. Une prévision Gartner de 2024 estimait que d'ici 2026, 75 % de la population mondiale verra ses données à caractère personnel couvertes par des réglementations modernes sur la vie privée, renforçant l'urgence de la conformité en matière de base légale pour les organisations multinationales.

Foire aux questions

Quelles sont les six bases légales du traitement des données à caractère personnel sous le RGPD ?

L'article 6, paragraphe 1, du RGPD définit six bases légales : (a) le consentement, (b) l'exécution d'un contrat, (c) l'obligation légale, (d) les intérêts vitaux, (e) la mission d'intérêt public et (f) les intérêts légitimes. Tout traitement doit reposer sur au moins l'une de ces bases, et la base retenue doit être documentée avant le début du traitement. Le texte complet est disponible sur gdpr-info.eu.

Comment choisir la base légale appropriée pour une activité de traitement ?

Commencez par identifier la finalité du traitement. Si la personne concernée dispose d'un choix réel, le consentement peut s'appliquer. Si le traitement est nécessaire à l'exécution d'un contrat conclu avec la personne concernée, retenez l'exécution du contrat. L'obligation légale s'applique lorsque le droit de l'UE ou d'un État membre impose le traitement. Les intérêts vitaux couvrent les situations d'urgence mettant la vie en danger. La mission d'intérêt public concerne les fonctions relevant de l'autorité publique. Les intérêts légitimes exigent une mise en balance en trois étapes documentée au moyen d'une évaluation des intérêts légitimes. Les lignes directrices du CEPD fournissent des critères de décision détaillés.

Puis-je modifier la base légale après le début du traitement ?

Le CEPD indique qu'il n'est en général pas admissible de changer de base légale une fois le traitement commencé. Comme le précise le considérant 40, la base légale doit être identifiée et documentée avant le début du traitement. Si la finalité du traitement évolue de manière substantielle, une nouvelle évaluation de la base légale s'impose.

Pourquoi le consentement est-il souvent un mauvais choix par défaut pour les données des collaborateurs ?

La relation entre employeur et collaborateur crée un déséquilibre des pouvoirs intrinsèque. Comme les collaborateurs peuvent craindre des conséquences négatives en cas de refus, le consentement est rarement considéré comme « librement donné » au sens de l'article 7 du RGPD et du considérant 43. La plupart des traitements de données des collaborateurs devraient reposer sur l'exécution du contrat (article 6, paragraphe 1, point b) ou sur l'obligation légale (article 6, paragraphe 1, point c).

Qu'est-ce qu'une évaluation des intérêts légitimes (LIA) et quand est-elle requise ?

Une évaluation des intérêts légitimes est un test documenté en trois étapes requis lorsqu'on s'appuie sur l'article 6, paragraphe 1, point f). Elle examine : (1) si le responsable du traitement ou un tiers poursuit un intérêt légitime, (2) si le traitement est nécessaire pour atteindre cet intérêt et (3) si les droits et libertés de la personne concernée prévalent sur cet intérêt. Le CEPD et les autorités de contrôle nationales attendent que les LIA soient consignées et disponibles aux fins de contrôle.

Comment les organisations multi-entités gèrent-elles la documentation de la base légale ?

Chaque entité juridique agissant en qualité de responsable du traitement doit documenter de manière indépendante sa base légale pour chaque activité de traitement dans son registre des traitements au titre de l'article 30. Au sein des groupes de sociétés, le consentement recueilli par une filiale ne s'étend pas automatiquement à une autre. Une plateforme GRC centralisée permet une gestion du registre des traitements propre à chaque entité, avec des modèles hérités et des pistes d'audit inter-entités.

Quelles amendes le RGPD prévoit-il en cas de défaut de documentation d'une base légale ?

Les violations de l'article 6 relèvent du palier supérieur des amendes administratives du RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, conformément à l'article 83, paragraphe 5, point a). Selon le GDPR Enforcement Tracker, les violations relatives à la base légale figurent parmi les catégories d'infractions les plus fréquemment sanctionnées depuis 2018.

La nLPD suisse utilise-t-elle les mêmes bases légales que le RGPD ?

Non. La nouvelle loi sur la protection des données (nLPD), en vigueur depuis le 01.09.2023, suit un modèle différent. En droit suisse, le traitement de données par des personnes privées est licite tant qu'il ne porte pas atteinte aux principes de la protection des données — il n'est pas exigé d'identifier une base légale spécifique comme à l'article 6 du RGPD. Le texte complet est disponible sur fedlex.admin.ch. Toutefois, les organisations soumises à la fois au RGPD et à la nLPD doivent malgré tout documenter les bases légales du RGPD pour les personnes concernées dans l'UE/EEE.

Comparatif : les bases légales du RGPD en un coup d'œil

Base légaleArticle du RGPDCas d'usage typesExigence essentiellePiège courant
ConsentementArt. 6, par. 1, point a)E-mails marketing, statistiques facultatives, cookiesLibrement donné, spécifique, éclairé, univoqueUtiliser le consentement pour les données des collaborateurs malgré le déséquilibre des pouvoirs
ContratArt. 6, par. 1, point b)Exécution de commandes, versement de salaires, mesures précontractuellesLe traitement doit être objectivement nécessaire au contratL'étendre pour couvrir la publicité comportementale dans les CGU
Obligation légaleArt. 6, par. 1, point c)Déclarations fiscales, contrôles LBA/KYC, droit du travailDoit citer une loi spécifique de l'UE ou d'un État membreS'appuyer sur de vagues « exigences réglementaires » sans citer la loi
Intérêts vitauxArt. 6, par. 1, point d)Urgences médicales, réponse aux catastrophesSituation mettant la vie en danger ; aucune autre base disponibleL'utiliser pour le traitement courant de données de santé
Mission d'intérêt publicArt. 6, par. 1, point e)Services publics, fonctions d'autorité publiqueMission exécutée dans l'intérêt public ou au titre de l'autorité publiqueDes sociétés privées invoquant la mission d'intérêt public sans mandat
Intérêts légitimesArt. 6, par. 1, point f)Prévention de la fraude, sécurité des réseaux, marketing directLa mise en balance en trois étapes (LIA) doit être documentéeOmettre de réaliser ou de documenter la mise en balance