« La détermination de la base juridique appropriée est liée aux principes de loyauté et de limitation de la finalité ». 

– Comité européen de la protection des données (CEPD), Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, version 2.0, 8 octobre 2019

Le traitement des données à caractère personnel doit être licite, c’est-à-dire qu’il doit reposer sur l’une des bases juridiques prévues par la loi.

En application du principe de conformité, le responsable du traitement doit s’assurer que son traitement repose sur l’une des cinq bases juridiques limitativement énumérées par la loi : 

• le consentement : la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
• l’exécution contractuelle : le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
• le respect d’une obligation légale : le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
• la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
• la mission d’intérêt public : le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
• l’intérêt légitime : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Il n’existe pas de hiérarchie entre ces bases juridiques. Un traitement est licite dès lors qu’il repose sur l’une d’elles. En dehors des cas où un traitement repose sur une nécessité objective (contrat, obligation légale, mission d’intérêt public, etc.), le consentement des personnes concernées est donc requis. La Commission nationale de l'informatique et des libertés a rédigé une méthodologie afin de déterminer la base légale du traitement de données personnelles. - CNIL, La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD, 02 décembre 2019