On savait déjà, depuis une décision PricewaterhouseCoopers Business Solutions rendue par l’HDPA (Grèce), le 30 juillet 2019, que le consentement était une base juridique supplétive. Cette interprétation semble avoir été partagée par la CNIL, dans sa délibération Spartoo du 28 juillet 2020 et, plus récemment, l’autorité danoise.
La Cour de Justice, reconnaissant ainsi tacitement une hiérarchie entre les bases visées à l’article 6 du RGPD, a récemment priorisé la « mission d’intérêt public » sur « l’intérêt légitime ».
Ce n’est ainsi qu’après avoir écarté la possibilité d’une telle mission que le responsable de traitement peut revendiquer son intérêt légitime.
En toute logique, l’obligation légale du responsable de traitement – strictement interprétée – devrait occuper le sommet de cette « pyramide des bases ». La CNIL considère en effet que cette base juridique ne joue, notamment, que si le texte en cause est impératif, sans marge de manœuvre.
Reste à déterminer le positionnement de l’exécution du contrat et de la protection des intérêts vitaux de la personne. Et surtout, me direz-vous, les interactions éventuelles entre ces bases.