La base de tout traitement de données personnelles réside dans le principe de finalité, principe qui s’applique aussi au stade de la réutilisation de ces données en cas de traitements ultérieurs.
Pour être licite, tout traitement de données doit être justifié pour accomplir un objectif déterminé. Il n'est pas possible de traiter des données personnelles sans finalité, il faut établir clairement et a priori dans quel objectif la collecte sera effectuée.
Découvrez les 8 règles d'or de la conformité au RGPD
Ainsi, le responsable de traitement ne peut pas choisir des finalités trop larges pour créer une compatibilité "artificielle".
Expliciter clairement la finalité de son traitement de données est important pour déterminer la pertinence des données collectées, et identifier avant toute (ré)utilisation que de nouvelles finalités seront compatibles.
L'article 5 b du RGPD précise que les données à caractère personnel sont "collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités".
Ainsi, il est possible de traiter ultérieurement des données d’un premier traitement pour des nouvelles finalités qui doivent être compatibles. Ce nouveau traitement doit respecter certaines règles.
Des conditions selon les bases légales
Selon la base légale invoquée pour le traitement initial, les conditions ne seront pas les mêmes.
Si la réutilisation est fondée sur la base d'une obligation légale ou d'une mission d'intérêt public, alors celle-ci ne nécessite pas de démarche particulière autre que de répondre aux dispositions légales.
Si la réutilisation est fondée sur le consentement, alors la mise en oeuvre d'un consentement libre, éclairé, spécifique et non équivoque est requise.
Dans les autres cas, une évaluation de la compatbibilité des finalités doit être réalisée (test de compatibilité).
Les 5 questions à se poser pour évaluer la compatibilité de ses finalités de traitement
L'article 6.4 du RGPD exige de réaliser un test avant la réutilisation des données personnelles.
Ce test de compatibilité est nécessaire quand le traitement initial est fondé sur la base d’un intérêt légitime, d’un contrat ou de la sauvegarde d'intérêts vitaux.
Existe-t-il une relation entre les finalités des traitements ?
Cela signifie par exemple que le second traitement pouvait déjà être compris dans les finalités initiales, ou être une autre étape du traitement initial.
Dans quel contexte la collecte est-elle effectuée ?
On se demande si la personne peut raisonnablement s’attendre à la réutilisation de ses données. Si le traitement ultérieur n’est pas ou difficilement envisageable pour la personne, il sera sans doute considéré comme incompatible.
Quelle est la nature des données à caractère personnel utilisées ?
Le test sera moins favorable à la compatibilité si on traite des données sensibles. A l’inverse, si les données sont très banales, les risques liés à la réutilisation sont moindres.
Quelles sont les conséquences possibles du second traitement sur les personnes ?
Si le second traitement est susceptible de porter atteinte aux droits et libertés de la personne, le test ne sera pas favorable.
Existe-t-il des garanties appropriées pour les personnes ?
S’il existe une mise en place de procédés techniques pour assurer la vie privée comme le chiffrement ou la pseudonymisation, on pourra compenser un résultat négatif des 2 critères précédents. Des garanties comme une plus grande transparence ou la possibilité de s'opposer facilement au traitement peuvent être prises en compte.
Quand est-il nécessaire de réaliser ce test de compatibilité ?
3 scénarios sont à envisager pour évaluer s’il est nécessaire de réaliser un test :
- Scénario 1 : la compatibilité est manifeste à première vue car les finalités sont les mêmes ou très proches.
Exemple : Un client se fait livrer chaque semaine des produits à domicile par un professionnel, son adresse, ses informations personnelles dont son adresse e-mail et ses coordonnées bancaires sont collectées.
Ses données pourront être réutilisées les semaines suivantes pour les besoins de la livraison et de l’édition des factures. Son adresse pourra également être utilisée en cas de défaut de paiement, afin de lui envoyer une mise en demeure de payer.
- Scénario 2 : la compatibilité n’est pas claire et il est nécessaire de réaliser un test de compatibilité.
Exemple : Le professionnel souhaite utiliser l’adresse mail du client pour lui adresser des offres personnalisées. Il souhaite aussi communiquer les informations personnelles de son client à son réseau de contact pour que ce dernier lui adresse des offres.
Ici, il peut y avoir une connexion entre la façon dont les données sont collectées et les finalités, même si ces dernières ne sont pas exactement les mêmes. Il faudra examiner des faisceaux d’indices concernant la compatibilité, comme par exemple le lien entre la finalité initiale et la finalité ultérieure, et le contexte dans lequel les données sont collectées. En voici un exemple :
Un Tour-opérateur organise un week-end pour 15 clients fidèles. Durant le séjour, de nombreuses photos sont prises par l’organisateur du voyage. Les photos sont partagées sur un site internet de partage sécurisé. Les clients sont informés que les photos sont partagées de manière personnelle et restreinte pour servir de souvenirs, à l’exclusion de toute réutilisation commerciale.
2 ans plus tard, l’organisateur veut extraire et réutiliser ces photos pour créer et promouvoir son nouveau site web de vente de week-end. Durant une réunion, il réunit les 15 clients et leur demande personnellement s'ils souhaitent donner leur consentement à la publication de ces photos, et d'en choisir un échantillon pour les poster sur son site. La plupart des participants donnent leur consentement et signe un document récapitulatif préparé par l’organisateur. Puis, ce dernier poste sur son site uniquement les photos pour lesquelles les individus ont donné leur consentement.
Même si la finalité de la collecte a radicalement changé, ces 2 finalités peuvent être considérées comme compatibles car des garanties supplémentaires ont été mises en place pour s’assurer de l’information des personnes, et de l’obtention de leur consentement, avant tout traitement de données.
- Scénario 3 : l’incompatibilité est manifeste.
Exemple : le client commande d’autres produits sur le site internet du professionnel. Il retrouve certains de ces produits à prix réduit. Le professionnel sans en informer le client a mis en place une solution de personnalisation des prix poussée qui détecte quel système d’exploitation et quel navigateur utilise le client. En fonction des données collectées, le client bénéficie ou non de remise.
Ici, la collecte ne sert que l’intérêt de mettre en place une politique tarifaire secrète et discriminatoire. Le mode de la collecte est déloyal, le client n'en est pas informé et ne pouvait pas raisonnablement s'attendre à cette réutilisation de ses données.
Il n’y a qu’en de très rares cas que des analyses encore plus poussées pourraient être utile pour justifier le traitement.
Exemple d’un recruteur qui souhaite réutiliser un fichier de recrutement pour proposer des offres commerciales aux candidats :
Les données ont été collectées et traitées pour répondre à une finalité de recherche de profils pertinents. Une réutilisation de ces mêmes données afin de réaliser une campagne de prospection commerciale ne pourrait être considérée comme compatible avec la finalité du traitement initial au regard de ces critères et particulièrement l’absence de lien entre les finalités, et du contexte dans lequel les données sont collectées.
Dastra intègre nativement des audits de comptabilité de finalité.
Une exception pour les traitements statistiques
L'article 5-1 b) du RGPD prévoit que "le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, [...], comme incompatible avec les finalités initiales (limitation des finalités)"
Ainsi lors de la réutilisation des données à des fins statistiques ou de recherche scientifique, il n'est pas nécessaire de procéder à un test de compatibilité.
Exemple d’une agence d’intérim qui souhaite réutiliser des fichiers candidats à des fins statistiques :
Une agence d’intérim collecte et traite les données à caractère personnel des candidats qui s’inscrivent sur sa plateforme en ligne pour leur proposer des offres d’emploi et de missions. L’agence d’intérim souhaite réutiliser les données à caractère personnel des candidats afin d’en faire des statistiques pour analyser et optimiser son processus de placement des candidats. Cette nouvelle finalité pourrait être considérée comme compatible avec la finalité du traitement initial au regard notamment du lien qui existe entre les finalités, de l’absence de conséquences pour les personnes concernées et du contexte dans lequel les données ont été collectées.
Quels sont les enjeux derrière la réutilisation des données à caractère personnel ?
Cette notion contribue à la transparence, la licéité et la prévisibilité pour les personnes concernées, mais également pour les autorités de contrôle. Cela permet de restreindre la manière dont les données sont utilisées par les responsables de traitement et renforce ainsi la sécurité des personnes.
Dastra vous aide à identifier de manière pertinente vos finalités dès la création du registre
La CNIL n’hésite pas en pratique à sanctionner les responsables de traitement pour non-respect des finalités.
Dans une délibération du 24 juillet 2018, la CNIL a sanctionné l’office public de l’habitat (OPH) de Rennes pour avoir utilisé des fichiers d’usagers pour des finalités incompatibles avec les finalités initiales. Dans cette affaire, la présidente de l’OPH de Rennes et maire de la commune a adressé à tous les locataires du parc social un courrier pour critiquer une décision du gouvernement diminuant le montant des APL. Ici la CNIL appréciera la réelle fonction du courrier pour décider qu’il n’était pas de nature purement informative et qu’il n’était pas non plus compatible avec les finalités principales d’un traitement de locataires d’un parc social. De plus, il existait d’autres moyens permettant d’éviter un usage incompatible avec la finalité de la collecte initiale, comme la communication par voie d’affichage.