C’est la base juridique, le fondement, qui permet à un Organisme de créer soit collecter, et utiliser des données personnelles.
Lorsque qu’un traitement poursuit plusieurs finalités, donc des fondements différents, pour chacune d’elle une base légale doit être définie.
Il n’est pas possible non plus de cumuler plusieurs bases légales pour une même finalité, une seule doit être choisie.
Le RGPD n’institue pas une hiérarchie entre les bases légales, il appartient au responsable de traitement de choisir celle qui doit s’appliquer dans chaque situation de traitement.
La base légale doit être communiquée à la personne concernée lors de la collecte de ses données personnelles.
Six bases légales sont prévues au sein du RGPD :
1 – Le consentement
( La personne a donné son accord pour le traitement de ses données )
2 – Le contrat
( Le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée )
3 – L’obligation légale
( Le traitement est imposé par des Textes légaux )
4 – La sauvegarde des intérêts vitaux
( Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers )
5 – La mission d’intérêt public
( Le traitement est nécessaire à l’exécution d’une mission d’un intérêt public )
6 – L’intérêt légitime
( Le traitement est nécessaire à la poursuite des intérêts légitimes de l’Organisme qui traite les données d’une personne concernée, dans le strict respect des droits et des intérêts des personnes dont les données sont traitées )
Si les conditions nécessaires propres à la base légale du traitement ne sont pas remplies, le responsable de traitement de l’Organisme en charge de la collecte doit changer les paramètres afin d’aboutir à l’application stricte du respect des dispositions légales, soit de rechercher une autre base légale.