Vous souhaitez lancer un formulaire, un outil RH, une campagne marketing, une application, un tableau de pilotage. Et très vite, une question arrive, simple en apparence mais structurante : “Pour quelles finalités les données sont-elles traitées, et sur quelle base légale repose le traitement ?”
Lorsque les réponses se résument à “parce que c’est utile” et “parce que tout le monde fait comme ça”, le risque est immédiat : une information aux personnes imprécise, un registre peu défendable, et une conformité difficile à démontrer en cas de contrôle ou de contentieux.
En pratique, tout devient plus clair dès lors que l’on distingue deux éléments différents :
- La finalité répond au “pourquoi” du traitement, autrement dit l’objectif poursuivi.
- La base légale répond au “sur quel fondement juridique” le traitement est autorisé.
Le RGPD exige de tenir les deux, simultanément, avec une cohérence stricte entre l’objectif annoncé et le fondement invoqué.
LA FINALITÉ, C’EST LA PROMESSE OPÉRATIONNELLE DU TRAITEMENT
La finalité n’est ni un slogan (“améliorer l’expérience utilisateur”), ni une formule attrape-tout (“gestion de la relation client”). Elle doit être déterminée, explicite, légitime, et formulée de manière suffisamment concrète pour être comprise et vérifiée.
Elle encadre ensuite tout le raisonnement de conformité, car elle pilote la minimisation des données (ne collecter que ce qui est nécessaire), la durée de conservation (ne conserver que le temps utile), et la transparence (informer de manière intelligible sur l’usage réel des données).
Un test simple peut être utilisé : la finalité doit pouvoir être expliquée à vos clients en langage clair, sans jargon et sans sous-entendus.
Si la formulation exige des détours ou formation alambiquée, c’est souvent le signe que la finalité n’est pas assez précise ou qu’elle n’est pas pleinement assumée.
LA BASE LÉGALE, C’EST LE FONDEMENT QUI AUTORISE LE TRAITEMENT
Une fois la finalité stabilisée, la base légale doit être choisie parmi celles prévues par l’article 6 du RGPD :
- le consentement,
- l’exécution contractuelle,
- l’obligation légale,
- la sauvegarde des intérêts vitaux,
- la mission d’intérêt public,
- l’intérêt légitime.
Le réflexe le plus courant, et souvent le plus risqué, consiste à recourir au consentement “par défaut” parce qu’il semble rassurant.
Or le consentement est exigeant : il doit être libre, spécifique, éclairé et univoque, et il doit pouvoir être retiré à tout moment.
En conséquence, un traitement fondé sur le consentement suppose une gouvernance opérationnelle solide, y compris la capacité de cesser le traitement sans dégrader indûment l’accès au service lorsque ce retrait intervient.
À l’inverse, la base “exécution du contrat” ne signifie pas qu’un traitement est justifié dès lors qu’il existe des CGU ou une relation commerciale. Elle couvre ce qui est objectivement nécessaire à l’exécution du service demandé.
Quant à l’intérêt légitime, il ne constitue pas un “joker” juridique. Il implique une mise en balance documentée entre l’intérêt poursuivi par le responsable de traitement et les droits et libertés des personnes. Plus le traitement est intrusif, inattendu, massif, ou susceptible d’affecter un public vulnérable, plus le seuil de justification est élevé. Dans ce cadre, le droit d’opposition joue un rôle central : il devient une garantie pratique permettant aux personnes de reprendre la main lorsque le traitement ne repose pas sur le consentement.
LES CAS DES DONNÉES SENSIBLES
Lorsque le traitement porte sur des données dites “sensibles” au sens de l’article 9 du RGPD (telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique), la logique change.
Le principe est l’interdiction, assortie d’exceptions strictes (par exemple le consentement explicite ou certains motifs liés au droit du travail, à la santé, à l’intérêt public, ou à la défense en justice). La base de l’article 6 reste nécessaire, mais elle ne suffit pas : il faut en plus une exception de l’article 9 applicable, et une documentation particulièrement rigoureuse.
De même, les données relatives aux condamnations pénales et infractions relèvent d’un régime spécifique et fortement encadré, ce qui exige une vigilance accrue sur la légitimité, la proportionnalité et les garanties mises en place.
FINALITÉS ET BASE LÉGALE SONT LE CŒUR DE LA TRANSPARENCE
Finalités et base légale font partie des informations que le responsable de traitement doit fournir aux personnes concernées, notamment au titre des obligations d’information.
Autrement dit, si la finalité est floue ou si la base légale est choisie par automatisme, la notice d’information devient mécaniquement fragile, et le traitement le devient avec elle.
Le bon réflexe consiste à sécuriser l’alignement en amont :
- formuler une finalité sobre et vérifiable,
- sélectionner une base légale réellement adaptée, en anticipant les conséquences pratiques (information, droits, conservation, preuve de la mise en balance en cas d’intérêt légitime, gestion du retrait en cas de consentement).
Lorsque ce duo est solide, tout devient plus facile : vous collectez moins, vous conservez mieux, vous répondez plus vite, et vous réduisez fortement le risque de litige.
