Une exigence fondamentale du RGPD est que tout traitement de données personnelles doit avoir un objectif commercial valide ET l’une des six bases légales / légales autorisées par le RGPD.
Vous devez déterminer votre objectif commercial et votre base juridique avant de commencer tout traitement et vous devez le documenter dans votre registre RGPD et votre politique de confidentialité. Votre choix de base juridique dépend de la finalité du traitement des données.
Il est possible que vous deviez traiter le même ensemble de données personnelles à plusieurs fins différentes. Chacun de ces objectifs doit avoir une base juridique valide (pas nécessairement la même).
Vous devez être en mesure d’expliquer votre base juridique pour le traitement des données personnelles dans votre politique de confidentialité et lorsque vous répondez à une demande d’accès aux données. Il existe six bases juridiques disponibles pour motiver un traitement des données énoncées à l’article 6 du RGPD:
- Consentement
- Exécution d’un contrat (y compris la prise de mesures pour conclure un contrat)
- Obligation légale
- Intérêt vital de la personne concernée ou d’une autre personne
- Tâche d’intérêt public
- Intérêt légitime du responsable du traitement
Celui qui est le plus approprié dépend du contexte de votre traitement.
Cinq des six bases juridiques sont assez explicites. Lorsque vous souhaitez faire référence à l’intérêt légitime du responsable du traitement, vous devrez réfléchir et appliquer un test pour déterminer si cette base juridique est appropriée. Veuillez lire ceci dans notre élément de base de connaissances sur l’intérêt légitime .
