Le vrai problème : on croit qu’on doit toujours demander le consentement
Beaucoup de PME pensent que le consentement est la seule base légale possible. Résultat : formulaires complexes, taux d’engagement faible, et parfois une base juridique fausse.
Le RGPD propose 6 bases légales. Choisir la bonne, c’est se mettre en conformité et simplifier la vie de l’entreprise.
Les 6 bases légales en PME
1. Le consentement
Lorsque la personne donne son accord libre, spécifique, éclairé et univoque.
Exemples : newsletter, cookies marketing, enquête facultative.
Attention : il doit être aussi facile à retirer qu’à donner.
2. L’exécution d’un contrat
Lorsque le traitement est nécessaire au contrat en cours ou à sa conclusion.
Exemples : facturation, livraison, gestion d’un compte client.
3. L’obligation légale
Lorsque la loi impose de conserver ou de transmettre certaines données.
Exemples : fiches de paie, factures, registre du commerce.
4. La protection des intérêts vitaux
Très rare en entreprise. S’applique en cas de danger physique immédiat.
5. L’intérêt public / mission de service public
Principalement pour les organismes publics et certains cas réglementés.
6. L’intérêt légitime
Lorsque l’entreprise a un intérêt légitime à traiter les données, sans porter atteinte aux droits de la personne.
Exemples : prospection commerciale B2B auprès de clients existants, sécurité interne, lutte contre la fraude.
L’intérêt légitime doit être analysé au cas par cas et documenté.
Comment choisir la bonne base légale ?
- Identifiez la finalité du traitement : pourquoi collectez-vous ces données ?
- Vérifiez si une loi vous y oblige → obligation légale.
- Vérifiez si c’est nécessaire à un contrat → contrat.
- Demandez-vous si la personne peut refuser sans conséquence → consentement.
- Dans les autres cas, évaluez l’intérêt légitime.
Exemple concret : un formulaire de contact
| Élément | Donnée | Base légale |
|---|---|---|
| Demande de devis | Nom, email, téléphone | Exécution d’un contrat |
| Inscription newsletter | Consentement | |
| Suivi commercial | Historique des échanges | Intérêt légitime |
| Facturation | Adresse, SIRET | Obligation légale |
Comment documenter son choix ?
Dans votre registre des traitements, indiquez pour chaque traitement :
- la finalité ;
- la catégorie de données ;
- les personnes concernées ;
- la base légale choisie et la justification.
Automatisation possible
Avec un outil no-code ou un assistant IA, vous pouvez générer automatiquement :
- une fiche par traitement avec sa base légale ;
- une justification type à adapter ;
- une checklist de contrôle.
Point d’action cette semaine
Repérez 3 traitements dans votre PME et écrivez la base légale correspondante. Cela peut être : la paie, les devis, la prospection, le site web.
Livrable : une ligne par traitement dans un tableur avec : nom du traitement, finalité, données, base légale.