Ce que dit l’article 4 de la loi Informatique et Libertés
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
- Les données sont collectées et traitées de manière loyale et licite ;
- Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;
- Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
- Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Définition et principe
1. Définition de la finalité
C’est la raison d’être du traitement. Elle délimite le périmètre d’exploitation des données et fait le lien entre les données, les traitements et les organismes.
Ex. de finalité : gestion des recrutements, gestion de la clientèle, protection des biens et des personnes.
2. Principe
Les traitements doivent répondre à un objectif précisément déterminé et légitime. L’objectif poursuivi au traitement doit être :
- Précisément déterminé : il est donc impossible de collecter et de traiter des données “à toutes fins utiles”, sans que l’objectif ait été déterminé au préalable par l’organisme. L’objectif doit être déterminé avant la navigation.
- Explicite : elle doit être définie et énoncée de manière compréhensible et suffisamment claire auprès des personnes concernées ou en interne.
- Légitime : (article 5 du RGPD) par rapport à la nature et aux activités de l’organisme. La finalité peut être jugée par exemple trop intrusive ou peu justifiée pour les personnes concernées.
L’objectif poursuivi par ce principe de finalité est de délimiter le champ des usages des données, pour garantir à l’utilisateur de choisir en amont plutôt qu’en aval.
Le détournement de la finalité
Si ce principe n’est pas respecté, le responsable de traitement fait donc face à un détournement de finalité.
Exemple de détournements :
Un fichier de caisse de la Sécurité sociale, créé par l’administration, est utilisé dans le but de calculer le montant des aides aux personnes. Un détournement pourrait être de transmettre des adresses mails à une entreprise qui va les utiliser pour faire de la prospection commerciale.
Une sanction administrative prévue par le RGPD (article 83-5) peut être rendue à l'organisme si le détournement de finalité est avéré : la sanction peut aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial. Une sanction pénale du détournement de finalité est également inscrite dans le Code pénal (article 226-21), qui prévoit jusqu’à 300 000 euros et 5 ans d’emprisonnement.
Evolution de la finalité sans détournement
1. La finalité compatible
C'est le cas où lorsqu'un usage évolue, vous souhaitez utiliser ultérieurement des mêmes données pour une finalité différente, il faut donc définir une finalité compatible.
NB : 3 finalités peuvent être jugées compatibles par principe:
- Traitement à des fins archivistiques dans l’intérêt public,
- Traitement à des fins recherche scientifiques et historiques,
- Traitement à de fins statistiques.
D’autres finalités peuvent être identifiés comme compatibles au moyen de la méthode du faisceau d’indices prévue par le RGPD (article 6-4) :
- L’existence d’un lien entre finalité initiale et finalité ultérieur
- La nature des données
- Les conséquences pour les personnes concernées.
- L’existence de garanties appropriées. (ex : chiffrement).
ATTENTION : IL EXISTE UNE OBLIGATION DE TRANSPARENCE SUR L'ÉVOLUTION DES FINALITÉS.
2. Le consentement ou le texte juridique
Il y a la possibilité de définir une nouvelle finalité si l’une de ces 2 conditions est réunie :
- Obtention du consentement des personnes par le responsable de traitement pour définir un nouvel usage des données.
- Le nouvel usage se fonde sur une disposition du droit de l’Union, ou du droit de l’Etat membre.
La notion de finalité est essentielle dans la construction de votre traitement car elle détermine la durée de conservation de vos traitements, la pertinence des données collectées, les droits des personnes concernées, ainsi que la liste des personnes habilitées à y accéder.