Le principe fondamental du traitement des données à caractère personnel est que les données doivent être traitées de manière licite et transparente. Le GDPR définit six bases légales pour le traitement des données. Il est important de les comprendre toutes, car aucune base légale n'est meilleure que les autres. Le choix de la base la plus appropriée dépend de l'objectif du traitement des données et des exigences de votre entreprise.
Consentement : lorsque vous avez le consentement de la personne concernée pour traiter ses données à caractère personnel. Il doit y avoir une action délibérée de la part de la personne concernée pour accepter ou donner son consentement.
Exemple : Collecte et traitement de données à caractère personnel à des fins de marketing ou d'envoi de lettres d'information.
Contrat : lorsque vous avez conclu un contrat avec une personne pour lui fournir les biens ou les services qu'elle a demandé. Dans ce cas, vous traitez des données pour exécuter le contrat.
Exemple : Au cours d'un contrat, lorsque le client demande plus d'informations par courrier électronique, l'organisation traite ses données personnelles pour répondre à la demande.
Obligation légale : lorsque vous devez traiter les données pour respecter la loi.
Exemple : Les données salariales d'un employé sont nécessaires à une institution gouvernementale ou une enquête requiert le traitement des données à caractère personnel.
Intérêts vitaux : lorsque vous devez traiter des données pour protéger la vie d'une personne ou en cas d'urgence.
Exemple : Collecte des données personnelles des personnes pour assurer leur sécurité en cas d'urgence ou d'incendie.
Tâches publiques : lorsque vous devez effectuer des tâches dans l'intérêt public, généralement en tant qu'institution gouvernementale, parti politique, etc.
Exemple : En tant qu'autorité publique qui traite des données pour la recherche scientifique, les enquêtes ou les études de santé publique.
Intérêts légitimes - Lorsque votre organisation a une raison réelle et légitime de traiter des données et que la finalité ne porte pas atteinte aux droits de la personne concernée.
Exemple : Un client n'a pas payé sa facture et l'entreprise a donc besoin de traiter les données du client pour recouvrer le paiement. Ou encore, à des fins administratives, lorsqu'une organisation traite les données à caractère personnel d'un employé dans le cadre de la gestion des salaires.