L'article 5 du RGPD indique que les traitements de données doivent avoir une finalité légitime.
La légitimité s'inscrit dans un cadre plus large que les 6 bases légales permettant de traiter des données à caractère personnel.
En effet, la légitimité du traitement s'entend comme étant respectueux des règles applicables selon le contexte du traitement.
En effet, la finalité d'un traitement doit non seulement répondre aux règles du RGPD, mais également aux autres règles qui couvrent l'activité réalisée par le traitement (notamment, le droit du travail, le droit des contrats, le droit de la consommation).
Ces règles peuvent provenir de différentes sources : décret, loi, normes internationales, coutume, jurisprudences etc.
Par exemple, un traitement dont la finalité est de donner des réductions à des clients ayant un nom à consonnance "blanche" et de faire payer plus cher des clients ayant un nom à consonnance asiatique ne saurait être légitime. En effet, le traitement conduit à une discrimination, dont l'interdiction, bien que non prévue par le RGPD, est contraire aux droits fondamentaux.