Le 2 décembre 2019, la CNIL a publié des recommandations portant sur la détermination des bases légales des traitements mis en œuvre par les responsables de traitement. A ce titre, l’autorité de protection des données rappelle certaines règles fondamentales, en particulier le fait qu’« il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule » parmi les six catégories suivantes : le consentement, le contrat, l’obligation légale, la mission d’intérêt public, l’intérêt légitime et la sauvegarde des intérêts vitaux conformément à l’article 6 du RGPD. Toutefois, « lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités ».
Il est important de noter qu’après avoir déterminé la base légale de la finalité poursuivie, il convient d’appliquer le régime juridique applicable. Par exemple, si un traitement est fondé sur le consentement des personnes, il faudra vérifier qu’il est libre, éclairé, spécifique et exprès. En outre, la base légale a un impact sur l’exercice des droits des personnes. En effet, certains droits ne peuvent être exercés en fonction de la base légale du traitement concerné. Ainsi, « le droit à la portabilité ne peut s’exercer qu’à l’égard de traitements dont la base légale est le consentement ou le contrat ; le droit d’opposition n’est, pour sa part, pas applicable aux traitements fondés sur l’obligation légale ».
Enfin, conformément aux articles 13 et 14 du RGPD la base légale du traitement doit apparaître dans les mentions d’information communiquées aux personnes concernées. La CNIL ajoute que cette base légale peut également figurer dans le registre des traitements comme elle l’a fait dans son propre registre (sur ce point nous vous invitons à lire notre article intitulé « Publication du registre de la CNIL »).
Publication du registre de la CNIL.
La CNIL a publié son registre le 2 décembre 2019 afin de rappeler cette obligation pesant sur tous les responsables de traitement ainsi que sur les sous-traitants conformément à l’article 30 du RGPD. Cet article exonère de cette obligation les structures « comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données (…) ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions (…) ». Or, dans la mesure où la majorité des traitements mis en œuvre par un organisme ne sont pas occasionnels cette obligation pèse sur l’ensemble des acteurs.
C’est la raison pour laquelle l’autorité de contrôle accompagne cette publication d’explications sur les attentes relatives à l’élaboration de ce document qui « constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de sa conformité au RGPD ».
Enfin, la CNIL propose d’ajouter certains éléments afin de faciliter la rédaction des mentions d’information propres à chaque traitement, notamment :
*Etant précisé que sa désignation est obligatoire dans les cas visés à l’article 37.1 du RGPD et recommandée par la CNIL.