Selon le RGPD, un traitement licite nécessite une base juridique (voir la sous-section “Licéité, loyautéet transparence” dans les “Principes” de la partie II des présentes lignes directrices). Si le traitement implique le type d’activités qui sont incluses dans le règlement “Vie privée et communications électroniques”, les dispositions prises par ce nouvel outil s’appliqueront dès qu’il sera approuvé. À l’heure actuelle, l’article 6 du RGPD définit un total de six bases juridiques possibles. Dans le cas du traitement des données provenant des réseaux sociaux, il est essentiel de souligner que les chercheurs ou les innovateurs en TIC doivent être conscients qu’ils auront certainement besoin de différentes bases juridiques pour le traitement des données au moment où ils accèdent aux données et au moment où ils effectuent leur recherche ou leur innovation sur la base de ces données. Dans le premier cas, ce qui est nécessaire, c’est une base juridique pour obtenir les données du réseau social. Dans le second cas, il s’agit de trouver une base qui permette d’utiliser les données, déjà légitimement acquises, à des fins de recherche. Il est essentiel de noter que le simple fait que les personnes concernées aient publié leurs données dans des espaces publics en ligne ne permet pas de les traiter. Il s’agit toujours de données à caractère personnel, même si les données sont accessibles au public. La publication pourrait servir à éviter l’interdiction incluse dans l’article 9.1 du RGPD, si nous parlons de données de catégories spéciales, mais ne sert pas de base légale pour le traitement. En tant que telles, les entreprises ne peuvent pas réutiliser librement les données, et ne peuvent pas les traiter ultérieurement à l’insu des personnes et sans une base adéquate pour un traitement licite.