Javascript is required
logo-dastralogo-dastra

Interprétation par la CJUE des principes de limitation des finalités et de la conservation des données

Interprétation par la CJUE des principes de limitation des finalités et de la conservation des données
Maëva Vidal
Maëva Vidal
14 novembre 2022·6 minutes de lecture

Dans le cadre d'un litige opposant un fournisseur de services Internet et de télévision et l'Autorité nationale de la protection des données et de la liberté de l’information de Hongrie, deux questions préjudicielles relatives à l'interprétation de l'article 5.1 b) et e) du Règlement Général sur la Protection des Données (RGPD) ont été soulevées :

① Le principe de la « limitation des finalités » s’oppose-t-il à l’enregistrement et à la conservation, dans une autre base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées ?

② Le principe de la « limitation de la conservation » s’oppose-t-il à la conservation, dans une autre base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs ?

Dans un arrêt du 20 octobre 2022, la Cour de justice de l'Union européenne (CJUE) répond à la demande de décision préjudicielle.


Les faits

Le fournisseur a créé une base de données, dite de « test », en parallèle de sa base de données principale dans laquelle elle a copié les données à caractère personnel d’environ un tiers de ses clients particuliers, lesquelles étaient conservées à des fins de marketing direct.

Après une cyberattaque, le fournisseur a supprimé cette base de données en parallèle, et a notifié la violation de données à caractère personnel à l’Autorité le 25 septembre 2019. Celle-ci a condamné le fournisseur à une amende, en considérant qu'il avait méconnu les principes de limitation des finalités et de la limitation de la conservation énoncées à l'article 5 du RGPD, puisqu'il avait conservé les données dans cette base de « test » sans aucune finalité pendant près de 18 mois, dans un fichier susceptible de permettre l’identification des personnes concernées.

Il a alors contesté la légalité de cette décision devant la juridiction de renvoi, qui a décidé de surseoir à statuer et de poser à la CJUE les questions préjudicielles ci-dessus.

Question relative au principe de la « limitation des finalités »

Pour rappel, l’article 5.1 b) du RGPD énonce que les données à caractère personnel doivent, d’une part, être collectées pour des finalités déterminées, explicites et légitimes et, d’autre part, ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

Dans ce cas, il y a lieu de relever que l’enregistrement et la conservation, par le responsable du traitement, dans une base de données nouvellement créée, de données à caractère personnel conservées dans une autre base de données constitue un « traitement ultérieur » de ces données.

D'après une lecture conjointe de l’article 6.1 a), et de l’article 6.4 du RGPD, la question de la compatibilité du traitement ultérieur ne se pose que dans l’hypothèse où les finalités dudit traitement ultérieur ne seraient pas identiques aux finalités de la collecte initiale. Pour vérifier que ces critères traduisent un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données à caractère personnel et le traitement ultérieur de ces données, il convient de tenir compte :

  • de l’existence éventuelle d’un lien entre les finalités originelles et les finalités du traitement ultérieur envisagé ;
  • du contexte dans lequel les données à caractère personnel ont été collectées (notamment lors du consentement des personnes concernées) ;
  • de la nature des données à caractère personnel ;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ; et
  • de l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

En conclusion, le principe de la « limitation des finalités » ne s’oppose pas à l’enregistrement et à la conservation, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées dans une autre base de données, à la condition que le traitement ultérieur soit compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été initialement collectées.

Question relative au principe de la « limitation de la conservation »

La conservation de données à caractère personnel doit respecter non seulement le principe de la « limitation des finalités », mais également celui de la « limitation de la conservation ».

Pour rappel, l’article 5.1 e) du RGPD énonce que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.

Cela signifie que les données à caractère personnel doivent être uniquement conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles ont été ultérieurement traitées.

De ce fait, il est possible de créer une autre base de données, dès lors que le traitement ultérieur soit compatible avec les finalités initiales, et à la condition que la durée de conservation n'excède pas celle qui est nécessaire à la réalisation du traitement ultérieur, conformément au « principe de minimisation des données » prévu à l'article 5.1 c) du RGPD.

En conclusion, le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.


A propos de l'auteur
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.