📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 6 du RGPD : Licéité du traitement

Sommaire

Introduction 

La protection des données personnelles est un enjeu central de la réglementation européenne. L’article 6 du Règlement Général sur la Protection des Données (RGPD) fixe les conditions de licéité du traitement, en définissant les bases juridiques permettant d’assurer la conformité d’une opération de traitement

Explication de l’article 

L’article 6 du RGPD définit les bases juridiques qui permettent à un organisme public ou privé de traiter des données personnelles de manière légale. En d’autres termes, il répond à une question essentielle : dans quels cas a-t-on le droit de collecter et d’utiliser des données personnelles ?

Le responsable du traitement (c’est-à-dire la personne ou l’entité qui détermine la finalité et les moyens du traitement, selon l’article 4 du RGPD) doit toujours pouvoir justifier de l’une de ces bases légales et l’indiquer dans son registre de traitement. Cela garantit non seulement la conformité juridique, mais aussi la transparence vis-à-vis des personnes concernées.

Les six bases légales prévues par l’article 6 §1 du RGPD

  1. Le consentement : la personne concernée accepte explicitement que ses données soient utilisées. Ce consentement doit être libre, éclairé et révocable à tout moment. Exemple : inscription volontaire à une newsletter.
  2. Le contrat : le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles. Exemple : traitement des données d’un salarié pour gérer son salaire ou traitement des coordonnées d’un client pour livrer un produit.
  3. L’obligation légale : le traitement est imposé par un texte législatif ou réglementaire. Exemple : conservation des factures et bulletins de paie par un employeur pour respecter les obligations comptables et fiscales.
  4. L’intérêt légitime : le traitement est justifié par l’intérêt de l’organisme, à condition qu’il ne porte pas atteinte aux droits et libertés des personnes concernées. Exemple : mise en place d’une vidéosurveillance dans une entreprise ou gestion d’un fichier clients/prospects.
  5. La mission d’intérêt public ou l’exercice de l’autorité publique : cette base concerne principalement les acteurs publics lorsqu’ils traitent des données dans le cadre de leurs missions. Exemple : traitement des réclamations par la CNIL.
  6. Les intérêts vitaux : cette base s’applique dans des situations exceptionnelles où le traitement est nécessaire pour protéger la vie d’une personne. Exemple : utilisation des données médicales en cas d’urgence vitale.

Publics concernés

  • Les quatre premières bases (consentement, contrat, obligation légale, intérêt légitime) s’appliquent aussi bien aux organismes privés qu’aux organismes publics.
  • Les deux dernières bases (mission d’intérêt public et intérêts vitaux) concernent surtout les autorités publiques, les organismes de santé ou les organisations exerçant une mission de service public.

Un lien indissociable avec les principes fondamentaux

Remplir l’une des conditions de l’article 6 ne suffit pas à rendre un traitement pleinement conforme. Le responsable doit également respecter les principes de l’article 5 du RGPD : licéité, loyauté et transparence, finalité déterminée, minimisation des données, exactitude, limitation de la durée de conservation et sécurité des données.

En résumé : L’article 6 du RGPD est le socle de la conformité. Sans base légale, aucun traitement de données personnelles ne peut être justifié. Il constitue donc une protection double : pour les personnes concernées, qui savent pourquoi et comment leurs données sont utilisées, et pour les responsables de traitement, qui sécurisent juridiquement leurs pratiques.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

a) le droit de l’Union; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 5 

Un traitement de données à caractère personnel n’est licite que si, et dans la mesure où, il remplit au moins une des conditions suivantes :

1° Le traitement, lorsqu’il relève du titre II, a reçu le consentement de la personne concernée, dans les conditions mentionnées au 11 de l’article 4 et à l’article 7 du règlement (UE) 2016/679 du 27 avril 2016 précédemment mentionné ;

2° Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

3° Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

4° Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

5° Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

6° Sauf pour les traitements effectués par les autorités publiques dans l’exécution de leurs missions, le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Conformément à l’article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au 1er juin 2019.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 7 

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a) la personne concernée a indubitablement donné son consentement

ou

b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci

ou

c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis

ou

d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

ou

e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.

Analyse des 3 textes qui précèdent 

Le traitement de données personnelles ne peut être réalisé que si une base légale le justifie. Ces bases ont été établies par la Directive 95/46/CE, reprises et précisées par le RGPD, et transposées dans la loi française Informatique et Libertés. Voici les principales différences et similitudes :

  1. Consentement
  • Directive 95/46/CE : le consentement doit être « indubitable » et spécifique.
  • RGPD : le consentement doit être libre, éclairé, spécifique et explicite, avec possibilité de retrait à tout moment. Il ne peut être valable si la personne concernée subit un déséquilibre de pouvoir avec le responsable du traitement.
  • Loi française : le consentement est requis mais ne précise pas le caractère « indubitable ».

Le RGPD renforce considérablement la protection de la personne en insistant sur la liberté de choix et l’information complète.

  1. Exécution d’un contrat
  • Directive : le traitement est licite s’il est nécessaire à l’exécution d’un contrat ou pour des mesures précontractuelles.
  • RGPD : même principe, avec précision que le traitement doit être objectivement indispensable pour atteindre l’objectif du contrat.
  • Loi française : principe similaire, peu de variation.

Cette base reste simple et claire, applicable notamment aux services en ligne ou aux ventes à distance.

  1. Obligation légale
  • Directive : traitement nécessaire pour respecter une obligation légale à laquelle le responsable du traitement est soumis.
  • RGPD : traitement nécessaire pour respecter une loi européenne ou nationale. Les États membres peuvent préciser certaines règles spécifiques.
  • Loi française : reprend la même logique, mais sans détailler l’adaptation au droit de l’UE.

Le RGPD introduit un contrôle européen et laisse une marge aux États pour adapter certains traitements.

  1. Intérêts vitaux
  • Directive, RGPD et loi française : traitement nécessaire pour protéger la vie de la personne concernée ou d’une autre personne physique.

Base très limitée et réservée aux situations d’urgence, par exemple médicales.

  1. Mission d’intérêt public ou exercice de l’autorité publique
  • Directive : traitement nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique.
  • RGPD : même principe, avec précision sur la proportionnalité et la légalité du traitement.
  • Loi française : principe similaire.

Le RGPD insiste sur la proportionnalité et la nécessité stricte, renforçant le contrôle sur les autorités publiques.

  1. Intérêt légitime
  • Directive : traitement nécessaire pour l’intérêt légitime du responsable ou d’un tiers, sauf si les droits et libertés de la personne concernée prévalent.
  • RGPD : précise que l’intérêt légitime doit être identifié, justifié, limité et ne pas porter atteinte aux droits et libertés des personnes. La personne doit être informée et pouvoir s’opposer.
  • Loi française : principe similaire, mais moins détaillé que le RGPD.

Le RGPD encadre strictement cette base, afin de protéger les personnes contre des traitements potentiellement intrusifs pour des intérêts commerciaux.

En résumé, le RGPD reprend toutes les bases légales de la Directive et de la loi française, mais avec plusieurs précisions importantes :

  1. Consentement plus exigeant et libre.
  2. Intérêt légitime mieux encadré et contrôlable par les personnes concernées.
  3. Proportionnalité et compatibilité renforcées pour les traitements publics et privés.
  4. Finalité stricte : le traitement ultérieur doit rester compatible avec la finalité initiale, sauf consentement ou disposition légale spécifique.

En pratique, le RGPD renforce la protection des individus et rend les responsables de traitement plus responsables et transparents, tout en harmonisant les règles au niveau européen.

Jurisprudences

Européennes

C-252/21 (4 juillet 2023) – Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social)  

Cette affaire concernait Facebook (Meta) et l’utilisation des données personnelles de ses utilisateurs. La CJUE a dû répondre à une question essentielle : dans quelles conditions une plateforme peut utiliser les données collectées en dehors de son réseau social (par exemple via d’autres services du groupe Meta, des cookies ou des boutons “J’aime/Partager” sur des sites tiers) ?

Lorsque Facebook collecte des données issues de la navigation de l’utilisateur sur des sites sensibles (santé, religion, orientation sexuelle, opinions politiques…), il s’agit de données sensibles au sens du RGPD. Leur traitement est en principe interdit, sauf exceptions prévues par le règlement.
 Meta ne peut pas justifier ces traitements massifs de données en invoquant uniquement l’exécution du contrat d’utilisation de Facebook

Pour que cette base soit valable, le traitement doit être strictement indispensable à la fourniture du service principal. Autrement dit : sans ce traitement, le contrat ne pourrait pas être exécuté. Ce n’est pas le cas ici.

Meta invoquait aussi son “intérêt légitime” (par exemple, pour la personnalisation publicitaire). La CJUE précise que cette base ne peut être retenue que si :

  • l’entreprise informe clairement les utilisateurs de l’intérêt poursuivi,
  • le traitement est limité au strict nécessaire,
  • et qu’une mise en balance prouve que les droits et libertés des utilisateurs ne priment pas.

Dans le cas de Meta, cette justification est très limitée, car la collecte est massive et intrusive.

Cette décision limite fortement la possibilité pour les grandes plateformes comme Meta de justifier la collecte et la combinaison massive de données personnelles, notamment à des fins publicitaires, sous couvert d’un simple contrat ou intérêt légitime.

C-621/22 (4 octobre 2024 ) – Koninklijke Nederlandse Lawn Tennisbond

Vente de données personnelles des membres à des sponsors.
Intérêt légitime (art. 6 §1 f RGPD) possible seulement si :

  • traitement strictement nécessaire,
  • intérêt licite,
  • mise en balance favorable aux droits des personnes.

La revente libre de données n’est pas justifiée par l’intérêt légitime : priorité à la protection des personnes.

C-394/23 (9 janvier 2025) – Mousse

Usage de la civilité (M./Mme) pour personnaliser les messages commerciaux.

  • Contrat (art. 6 §1 b) : non valable, car pas indispensable au service de transport.
  • Intérêt légitime (art. 6 §1 f) : limité → doit être transparent, nécessaire et non attentatoire aux droits (risque de discrimination).

La personnalisation marketing selon le genre n’est pas justifiée par contrat ni intérêt légitime.

Françaises 

CE Fr., n°429571 (10 décembre 2020)

Cette décision concernait la conservation des numéros de cartes bancaires par des sites de commerce en ligne pour faciliter des achats futurs, par exemple via une fonctionnalité “achat en un clic”.La CNIL a estimé que ces données sont sensibles et que leur conservation sans consentement ne peut pas être justifiée par l’intérêt légitime. Seule exception : si le client a explicitement consenti ou bénéficie d’un abonnement donnant accès à des services réguliers.

Conséquence pratique :

  • Les sites de commerce en ligne doivent obtenir le consentement explicite des clients pour conserver leurs numéros de carte afin de faciliter des achats ultérieurs.
  • L’intérêt commercial de simplifier les paiements ne peut pas primer sur la protection des données sensibles des clients
  • La protection des données sensibles (comme les informations bancaires) prime sur l’intérêt commercial.

Cass. Fr., n° 22-23.639 (9 avril 2025)

Cette affaire concernait la communication de documents contenant des données personnelles de salariés dans le cadre d’une action pour discrimination au travail.

Même dans le cadre d’un procès, la communication de données personnelles doit rester proportionnée, ciblée et strictement limitée au nécessaire. Le RGPD s’applique également aux litiges, afin de protéger notamment les salariés tiers. Cette approche concilie le droit à la preuve et le droit à la protection des données, garantissant un équilibre entre transparence et confidentialité. Les documents contenant des données personnelles doivent être filtrés et restreints aux seules informations utiles pour établir une discrimination, et les informations des salariés tiers doivent être masquées sauf celles indispensables. Enfin, les données communiquées ne peuvent être utilisées que dans le cadre exclusif du procès.

Recommandations 

CEPD

Lignes directrices sur le traitement des données à caractère personnel au titre de l’article 6.1.b  du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées – 2/2019 (8 octobre 2019) 

Lignes directrices sur le consentement au sens du règlement (UE) 2016/679 – 5/2020 (4 mai 2020)

Lignes directrices sur le ciblage des utilisateurs de médias sociaux – 8/2020 (13 avril 2021)

Lignes directrices sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité –  01/2020 (9 mars 2021)

Recommandations sur la base juridique pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter la poursuite des transactions en ligne – 02/2021 (19 mai 2021)

Lignes directrices sur les assistants vocaux virtuels – 2/2021 (7 juillet 2021)

Processing Personal Data on the Basis of Legitimate Interests under the GDPR: Practical Cases

CNIL

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des activités commerciales (février 2022)

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des impayés dans une transaction commerciale (février 2022)

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.