Un guide pratique de GDPR Les bases juridiques expliquées
TL;DR — Réponse rapide
5 min de lectureGDPR L'article 6 prévoit six bases juridiques : consentement, contrat, obligation légale, intérêts vitaux, mission publique et intérêts légitimes. Choisissez la base qui correspond réellement à l’objectif avant le début du traitement.
Ce guide explique GDPR Les bases juridiques expliquées de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
En vertu du GDPR, le traitement des données personnelles n'est licite que si au moins une base légale s'applique. Les six bases juridiques sont énumérées dans GDPR Article 6 : consentement, contrat, obligation légale, intérêts vitaux, mission publique et intérêts légitimes.
Le choix d’une base juridique n’est pas un exercice de paperasse. Cela affecte la formulation de la transparence, les droits des utilisateurs, les options de rétractation, les droits d'opposition et la question de savoir si le traitement est défendable.
1. Consentement
Le consentement s’applique lorsqu’une personne donne librement une indication d’accord spécifique, éclairée et sans ambiguïté. Il doit être aussi facile de retirer que de donner. Les cases pré-cochées, le silence, l'inactivité et le consentement groupé ne fonctionnent pas.
Utilisez le consentement lorsque les gens ont un véritable choix, comme des e-mails marketing facultatifs ou des cookies non essentiels. N'utilisez pas le consentement lorsque la personne n'a pas d'alternative pratique, par exemple lorsqu'on demande à un employé de consentir à un traitement RH de base.
Pour les cookies et le suivi, n'oubliez pas que le consentement de ePrivacy peut être requis avant même l'analyse de la base juridique de GDPR. Si les cookies analytiques sont facultatifs, ils nécessitent généralement un consentement préalable en Europe, sauf exception stricte.
2. Contrat
Le contrat s'applique lorsque le traitement est nécessaire pour exécuter un contrat avec la personne ou pour prendre les mesures demandées avant de conclure un contrat.
Exemples :
- Traitement d'une adresse de livraison pour livrer une commande.
- Création d'un compte pour qu'un utilisateur puisse accéder à un service payant.
- Traitement des détails de paiement pour un abonnement.
Il ne couvre pas les traitements simplement utiles à l’entreprise. La publicité comportementale n'est pas nécessaire pour délivrer un compte SaaS. L'analyse des produits peut prendre en charge le service, mais elle nécessite généralement une analyse distincte.
3. Obligation légale
L'obligation légale s'applique lorsque EU ou la loi de l'État membre exige le traitement. Les exemples incluent les dossiers fiscaux, les obligations en matière de droit du travail, la conservation comptable, le contrôle des sanctions dans certains contextes ou la réponse aux demandes réglementaires légales.
L’obligation doit provenir de la loi et non d’un contrat ou d’une politique interne. Si un contrat de fournisseur stipule que vous devez collecter certaines données marketing, il ne s'agit pas d'une obligation légale de GDPR.
4. Intérêts vitaux
Les intérêts vitaux s'appliquent lorsque le traitement est nécessaire pour protéger la vie d'une personne. C’est un domaine restreint et rare dans le cadre d’opérations commerciales normales.
Les exemples peuvent inclure des informations médicales d’urgence ou une réponse à une crise. Cela n'est généralement pas pertinent pour l'analyse de sites Web, le marketing ou l'intégration de SaaS.
5. Tâche publique
La mission publique s'applique lorsque le traitement est nécessaire à une mission effectuée dans l'intérêt public ou sous l'autorité publique. Il est principalement utilisé par des organismes publics ou des organisations privées exerçant des fonctions officielles en vertu de la loi.
La plupart des entreprises privées ne peuvent pas utiliser les tâches publiques pour le traitement commercial de routine.
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
6. Intérêts légitimes
Des intérêts légitimes peuvent s'appliquer lorsque le responsable du traitement ou un tiers a un intérêt légitime, que le traitement est nécessaire à cet intérêt et que les droits et libertés de la personne ne l'emportent pas.
Cela nécessite un test d’équilibre. Une évaluation typique des intérêts légitimes pose les questions suivantes :
- Quel est l’intérêt légitime ?
- Le traitement est-il nécessaire à cet intérêt ?
- Quel est l’impact sur les individus ?
- Quelles garanties réduisent cet impact ?
- Les gens peuvent-ils raisonnablement s’attendre à ce traitement ?
- Peuvent-ils s’y opposer facilement ?
Les exemples potentiels incluent la prévention de la fraude, la sécurité des réseaux, la prospection B2B de base ou des analyses de première partie limitées dans certains contextes. Mais les intérêts légitimes ne constituent pas une expression magique pour le suivi. La publicité intersites, le profilage invasif, les inférences sensibles et le partage inattendu de données sont beaucoup plus difficiles à justifier.
Bases juridiques et droits individuels
La base légale modifie les droits disponibles :
| Base juridique | Conséquence pratique |
|---|---|
| Consentement | L'utilisateur peut retirer son consentement |
| Contracter | Le traitement doit être nécessaire au contrat |
| Obligation légale | La suppression peut être limitée par les lois sur la conservation |
| Intérêts vitaux | Utilisation d'urgence étroite |
| Tâche publique | Des droits d’opposition peuvent s’appliquer |
| Intérêts légitimes | L'utilisateur a le droit de s'opposer |
Vous devez indiquer aux gens la base juridique dans votre avis de vie privée.
Exemples d'analyse
Google Analytics basé sur les cookies
Une configuration Web typique de GA4 utilise des cookies pour distinguer les utilisateurs et les sessions, comme Google l'explique dans sa documentation sur les cookies GA4. En Europe, cela soulève généralement des questions de consentement ePrivacy avant que le cookie analytique ne soit défini. La base juridique de GDPR dépend alors de la conception du traitement, des conditions du fournisseur, des transferts et de l'activation ou non des fonctionnalités publicitaires.
Analyses globales sans cookies
Un outil sans cookie qui évite les identifiants, le stockage IP, les empreintes digitales, la réutilisation publicitaire et les charges utiles d'événements personnels peut réduire ou éviter le traitement des données personnelles en fonction de la mise en œuvre. Même dans ce cas, l’organisation doit documenter l’objectif, les catégories de données, la conservation et le rôle du fournisseur.
Analyse de produits dans un compte
Les analyses de produits authentifiées traitent souvent les données personnelles au niveau du compte. Le contrat peut couvrir les événements nécessaires à la fourniture du service, tandis que les intérêts légitimes peuvent couvrir la sécurité ou l'amélioration du produit. Les utilisations sensibles ou facultatives peuvent nécessiter un consentement ou une base différente.
Erreurs courantes
- Choisir le consentement parce que cela semble le plus sûr, puis rendre le service inutilisable si le consentement est refusé.
- Utiliser un contrat pour un traitement qui n'est utile qu'à la marketing.
- Utiliser des intérêts légitimes sans mettre en balance des éléments.
- Oublier les règles ePrivacy pour les cookies et le stockage de l'appareil.
- Changer d'objectif plus tard sans réévaluer la compatibilité.
- Ne pas mettre à jour l'avis de vie privée lorsque les outils changent.
La bonne base juridique est celle qui s’adapte honnêtement au traitement. Si aucune base ne convient, la réponse n’est pas une formulation créative. La réponse est d’arrêter ou de reconcevoir le traitement.
Documenter le choix
Pour chaque finalité de traitement, enregistrez la base choisie et une phrase expliquant pourquoi elle correspond. Ceci est particulièrement important pour les fonctionnalités d’analyse, de marketing et d’IA, où les équipes héritent souvent des hypothèses des anciens outils. Un bref enregistrement est plus facile à conserver qu’un long mémo que personne ne met à jour.
Liste de contrôle des dossiers sur la base juridique
Pour chaque objectif d'analyse, notez la base juridique et pourquoi elle convient : la mesure de l'audience d'un site Web public, les pixels marketing, la télémétrie des produits, la prévention de la fraude, l'analyse des comptes et les diagnostics d'assistance peuvent chacun nécessiter une analyse différente. Ne réutilisez pas une base pour toute la pile.
Vérifiez également les règles ePrivacy avant l'exécution des balises. Même lorsque des intérêts légitimes de GDPR peuvent être défendus pour des analyses limitées, le stockage de l'appareil, les cookies, les pixels, les SDK ou un accès similaire peuvent toujours nécessiter un consentement, à moins qu'une exemption étroite ne s'applique dans la juridiction concernée.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de consentement au suivi
Le consentement au suivi sous GDPR doit être librement donné, spécifique, éclairé et facile à retirer. Ce guide explique les règles et les erreurs courantes qui rendent le consentement invalide.
Un guide pratique de 7 principes du RGPD
Découvrez comment 7 principes du RGPD influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de accord de traitement des donnees
Découvrez comment accord de traitement des donnees influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.