Accueil //Blog //RGPD //DPO //La finalité des traitements de données
Crédits photo : Alexander Suhorucov, Pexels

La finalité du traitement des données

Un des éléments essentiels pour garantir la conformité d’un traitement de données personnelles est la détermination préalable de la finalité. Cette étape est essentielle dans la mesure où elle permet d’identifier les données pouvant être collectées et donc un respect effectif du principe de « minimisation des données ». Elle permet également la définition de la durée durant laquelle les données seront conservées, celles-ci ne pouvant en principe être conservées en base active que le temps nécessaire pour atteindre les objectifs concernés.

Pourquoi définir une finalité de traitement des données ?

La finalité du traitement constitue l’objectif principal pour lequel les données personnelles sont collectées et utilisées. Tout organisme doit dès lors, avant toute collecte de données, définir les raisons pour lesquelles il envisage de mettre en place un traitement de données personnelles.

Quelles sont les conditions que doit remplir la finalité d’un traitement ?

L’article 5 du RGPD introduit le principe sur la « limitation des finalités ». Les données doivent dès lors être collectées pour des finalités « déterminées, explicites et légitimes ». Ce principe vise à limiter la manière dont le responsable de traitement peut utiliser ou réutiliser les données. Ainsi,

  • Les finalités doivent être définies avant la mise en place du traitement.
  • Les finalités doivent être précisées et présentées de manière claire et compréhensible.
  • Toute nouvelle finalité doit être compatible avec la finalité initiale pour laquelle les données ont été collectées.

A titre d’exemple, dans le cas où les données sont collectées pour permettre la livraison des produits et donc l’exécution du contrat, constitue un détournement de finalité de les utiliser ultérieurement pour l’envoi de la communication commerciale au sujet de produits qui ne sont pas analogues à ceux achetés par la personne concernée.

Le responsable de traitement doit dès lors veiller à évaluer, de manière régulière, si le traitement est nécessaire au regard des finalités pour lesquelles les données ont été collectées et vérifier que le principe de limitation des finalités est bien respecté.

Compatibilité de la finalité ultérieure

Dans le cas où l’organisme souhaite utiliser ultérieurement les données pour d’autres finalités que celles définies initialement, le responsable de traitement doit s’assurer que les finalités de ce nouveau traitement ultérieur sont compatibles avec les finalités originales. La compatibilité ou non de la nouvelle finalité s’apprécie en tenant compte des critères de l’article 6 du RGPD.

Il convient de vérifier le bon respect des exigences liées à la licéité du traitement initial et de tenir compte :

  • Du lien existant entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement envisagé.
  • Du contexte de la collecte des données et notamment des attentes raisonnables des personnes concernées.
  • De la nature des données personnelles concernées.
  • Des éventuelles conséquences du traitement ultérieur pour les personnes concernées.

Certaines opérations de traitements sont toutefois considérées par le RGPD comme étant compatibles. Il s’agit des traitements ultérieurs mis en place :

  • A des fins archivistiques dans l’intérêt public.
  • A des fins de recherche scientifique ou historique.
  • A des fins statistiques.

Dans ces cas, une nouvelle base juridique distincte de celle de la collecte des données personnelles n’est pas requise.

À lire aussi