Un traitement de données doit avoir une base légale

Lorsque une entreprise traite des données personnelles en tant que responsable de traitement, elle doit systématiquement s’interroger pour savoir qu’elle est la base légale de ce traitement.

La base légale, c’est ce qui autorise l’entreprise responsable de traitement, à faire un traitement de données.

S’il n’y a pas de base légale, le traitement n’est donc pas légal.

LES 5 BASES LEGALES PREVUES PAR LE RGPD SONT LES SUIVANTES :

1/ La personne concernée a donné son consentement préalable au traitement de ses données

2/ L’entreprise traite les données personnelles dans le cadre de l’exécution d’un contrat ou de la préparation d’un devis

Exemple : un vendeur traite les données de son client pour lui vendre et lui envoyer le produit commandé – autre exemple : une personne contacte l’entreprise pour avoir des informations sur un produit et demander un devis

3/ L’entreprise doit répondre à une obligation légale

Exemple : l’entreprise doit traiter les données personnelles de ses salariés pour établir leurs bulletins de paie

4/ L’entreprise exécute une mission de service public

Exemple : les mairies, traitent des données personnelles de leurs administrés

5/ L’entreprise a un intérêt légitime à traiter ces données

Exemple : le professionnel envoie de la prospection commerciale par courrier postal (à noter toutefois qu’en matière de prospection commerciale, le consentement peut parfois être obligatoire)

CAS PARTICULIERS :

-Lorsque l’entreprise traite des données personnelles en tant que sous-traitant, c’est-à-dire pour le compte d’un autre professionnel (et non pas en tant que responsable de traitement), c’est le contrat qu’il a obligatoirement conclu avec le responsable de traitement qui lui permet de traiter les données personnelles.

Les traitements de données sensibles sont par principe interdits sauf exceptions : les bases légales autorisant le traitement de données sensibles sont spécifiques.