Au regard de mes missions et des droits et libertés des personnes, suis-je en droit de collecter des données à caractère personnel ? Telle est la question qui vous amène à définir la finalité de vos collectes de données.
La mise en œuvre d’une collecte de données doit être justifiée par la poursuite d’un but déterminé. Autrement dit, un traitement de données à caractère personnel est licite s’il est assorti d’une finalité. De plus, cette finalité doit être portée à la connaissance de la personne concernée. Il est normal de savoir pourquoi nos données sont collectées.
C’est pourquoi le principe de finalité doit répondre à trois impératifs[1] : la transparence, la prévisibilité et la sécurité juridique. La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’avoir notamment la capacité d’y consentir. La personne est alors en mesure de contrôler leur usage en exerçant ses droits d’accès, d’opposition, de suppression ou de rectification, etc.
Exemples : le responsable de traitement doit respecter un principe de transparence lors du traitement et informer les personnes lors de la collecte des données en leur communiquant l’identité du responsable du fichier, la finalité du traitement, les destinataires de la donnée, etc.
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés n’érige pas directement la notion de finalité au rang de principe. Son article 6, 2°, prévoit qu’un traitement porte sur des données à caractère personnel « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités » [2]. La finalité était seulement évoquée dans le sens où le détournement de celle-ci était sanctionné.
Concrètement, l’exigence de cette finalité met à la charge du responsable de traitement deux séries d’obligations :
- Lors de la collecte des données: la finalité de la collecte doit être déterminée, explicite et légitime
Exemples de finalités explicites et légitimes : organiser la répartition des usagers par niveau de dépendance, analyser la navigation sur internet afin de vérifier l’accès à des sites interdits aux mineurs, faire de la publicité ciblée.
- Lors du traitement ultérieur des données: la finalité de la collecte doit être compatible avec celle des traitements futurs.
- Par principe, tout traitement ultérieur des données incompatibles avec les finalités pour lesquelles elles sont collectées est interdit.
- Par exception, les traitements réalisés à des fins statistiques, scientifiques ou historiques sont autorisés dans certains cas.
Exemple : votre organisme a obtenu l’accord écrit concernant le droit à l’image d’un de vos usagers afin de réaliser un album photos interne à l’établissement (finalité explicite et légitime). Le consentement de cette personne (base légale du traitement) devra être sollicité de nouveau dans le cas où l’utilisation de la photo est destinée à une autre finalité telle que son utilisation pour le livret d’accueil ou le partage sur les réseaux sociaux. En effet, si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu mais également inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.
Le principe de finalité a été réaffirmé par le RGPD à son article 5,1° b). Si la finalité du traitement est différente de celle initiale, il conviendra de solliciter un nouveau consentement de la personne concernée. Cette dernière doit garder la maîtrise effective de ses données.
L’équipe RGPD du Cabinet ACCENS, votre DPO, se tient à votre disposition pour toute information complémentaire.
[1] Définis par le groupe de l’article 29[1] dans son avis n°03/2013 du 2 avril 2013. Le Groupe de travail Article 29 sur la protection des données est un ancien organe consultatif de l’Union européenne indépendant sur la protection des données et de la vie privée. Son organisation et ses missions sont définies par les articles 29 et 30 de la directive 95/46/CE, dont il tire sa dénomination, et par l’article 14 de la directive 97/66/CE. À compter de l’entrée en application du Règlement général sur la protection des données en mai 2018, il est remplacé par le Comité européen de la protection des données.
[2] Article 6 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 – art. 2.
