A la suite de l'adoption du Règlement Général sur la Protection des données, l'Union européenne a renforcé sa règlementation relative à la protection des données personnelles. Celle-ci repose notamment dans les sanctions significatives pouvant être infligées, ce qui a fait que beaucoup de responsables de traitements ont pris conscience des enjeux. La mise en conformité avec cette nouvelle règlementation est donc devenue indispensable. Cette mise en conformité passe d'abord par le choix d'une base légale permettant de justifier le traitement. Pour certains, cette base légale a pour but de s'assurer que la personne concernée est protégée de manière optimale, d'où une volonté de favoriser la base légale du consentement par défaut. En réalité, les bases légales ne protègent pas réellement les personnes concernées, et permettent plutôt de justifier les traitements de données personnelles tout en ayant une influence sur les droits des personnes concernées. Il ne s'agit pas toujours d'une protection des personnes concernées, et parfois elles ne protègent aucune partie au traitement. La base légale doit être bien choisie, car non seulement il n'est pas possible de recourir à plusieurs d'entre elles pour le même traitement, mais il est compliqué de changer durant un traitement, ou de changer de finalité. De plus, les conséquences en cas de choix erroné peuvent être très impactantes, tant en terme financier que réputationnel. Dans le secteur privé, un des choix à envisager est le consentement, qui fait l'objet de nombreuses règles et peut être manipulé. Ce consentement n'est pas aussi protecteur du responsable de traitement que certains peuvent le penser, car il fait l'objet de contraintes importantes, étant donné qu'il doit notamment être libre, spécifique, et éclairé. Ces exigences sont lourdes à respecter. Dès lors, ne pas y recourir lorsque cela est possible est intéressant. Au surplus, les exigences autour du consentement ne sont en réalité pas si avantageuses pour les personnes concernées. Ce consentement peut en effet très rapidement être influencé, y compris de manière licite. De plus, il est généralement moins informé qu'il ne le parait, dans la mesure où il suppose que les personnes concernées prennent le temps de lire les mentions d'information ce qu'elles ne font pratiquement jamais. Cette protection de la personne concernée n'est donc qu'une protection en demi-teinte. Le choix de la base légale n'est pas sans conséquence. Dans un cas, les personnes concernées seront bien informées, et pourront utiliser leurs droits de façon appropriée. Dans l'autre, non seulement ce ne sera pas le cas, mais le responsable risque également une sanction administrative, des poursuites, et encoure un risque réputationnel. Il y a donc un équilibre entre les intérêts des parties au traitement, pour qui la conformité apporte un bénéfice. Afin de limiter les risques, il faut donc faire une analyse opérationnelle et concrète de la situation. Cette étude permet de constater que l'intérêt légitime est souvent efficace en présence de personnes en situation de faiblesse, ainsi que dans le cadre des données à caractère hautement personnelles. Ce choix doit également être étudié lors de traitements complexes, comme la monétisation de données personnelles, ou la prospection commerciale. Il en est de même dans le cadre de traitements effectués par le biais de technologies issues de l'économie numérique, comme la blockchain ou l'intelligence artificielle. Dans tous les cas, le choix de la base légale doit se faire en fonction de la situation en question, après une analyse casuistique.