Précédemment, nous avons aborder la notion de finalités de traitement, pour rappel la finalité d’un traitement c’est l’objectif poursuivi par ce dernier, sa raison d’être. En d’autres termes, on l’identifie en se posant la question : pourquoi j’utilise ces données ? A quoi me servent-elles ?
Dans cet article, nous allons nous concentrer sur le principe de limitation des finalités. En moins de 5 min, vous allez tout comprendre sur cette notion. ?
La réponse au sondage « Est-il possible de réutiliser les données pour un autre traitement dont la finalité est incompatible avec la première ? ? »
Pour introduire le sujet, nous vous avons proposé un sondage, le 15 février dernier sur notre page LinkedIn, en vous demandant si c’était possible de réutiliser des données pour un autre traitement dont la finalité est incompatible avec la première.
Bien joué ! Sur 209 votants, 93% d’entre vous ont « Non, c’est interdit ». En effet, vous ne pouvez pas réutiliser les données pour un autre traitement dont la finalité est incompatible.
Les 6 principes retenus à l’article 5 du RGPD
L’article 5.1 du RGPD liste cinq principes auxquels le traitement de données personnelles doit répondre :
- La licité, la loyauté et la transparence
- La limitation des finalités
- La minimisation
- L’exactitude
- La limitation de la conservation
- L’intégrité et la confidentialité
Nos précédents articles vous présentent et vous expliquent certains de ces concepts. Suivez-nous pour ne pas rater ceux à venir ! ?
Comment fait-on pour limiter les finalités ?
Pour commencer il faut identifier au préalable la finalité du traitement. Pour ce faire, le traitement doit répondre à un objectif précis, déterminé, explicite, légitime et bien encadré. De même, la finalité doit être claire pour la personne concernée et être justifiée par le responsable de traitement.
Cela permet d’une part de répondre au principe de minimisation (que nous évoquerons la semaine prochaine).
D’autre part, vous assurez aux personnes concernées que leurs données ne seront pas utilisées ou réutilisées en dehors de cette finalité prévue.
En effet, le responsable de traitement ne peut pas réutiliser les données pour un autre traitement dont la finalité est incompatible avec la première. ?
Ce principe est primordial et immuable. En cas de détournement de la finalité, l’entreprise concernée s’expose à une amende et son représentant à une peine de prison.
- L’article 226-21 du Code Pénal, punit cette infraction à 300 000€ d’amendes et 5 ans d’emprisonnement
- Tandis que l’article 85-3 du RGPD promet une sanction administrative pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel.
Un principe à nuancer
Parallèlement, le RGPD nuance le principe de limitation des finalités avec la notion de « finalité compatible ». Elle permet, sous certaines conditions, de réutiliser les données collectées pour une autre finalité.
Tout dépend notamment de la base légale initiale sur laquelle est fondée votre traitement initial.
S’il s’agit d’un intérêt légitime, d’un contrat ou d’intérêts vitaux, les données peuvent être utilisées pour une autre finalité à condition d’avoir vérifier les points suivants pour s’assurer de la compatibilité.
Les points suivants méritent une attention particulière (conditions dégagées par le CEPD):
- “le lien entre la finalité initiale et la finalité nouvelle ou à venir;
- le contexte dans lequel les données ont été collectées (Quelle est la relation entre votre entreprise/organisation et la personne concernée?);
- le type et la nature des données (Sont-elles sensibles?);
- les éventuelles conséquences du traitement ultérieur envisagé (Quel impact aura-t-il sur la personne concernée?);
- l’existence de garanties appropriées (telles que le chiffrement ou la pseudonymisation)”.
Si vous utilisez les données à des fins statistiques ou de recherche scientifique, il n’est pas nécessaire de procéder à un test de compatibilité.
Si le traitement initial est fondé sur le consentement ou sur une obligation légale, aucun traitement ultérieur qui va au-delà le cadre des domaines couverts par la base initiale n’est possible. Le traitement ultérieur nécessiterait d’obtenir un nouveau consentement ou une nouvelle base juridique.
Un exemple de sanction du non-respect du principe de limitation des finalités ??
L’autorité de contrôle espagnole, l’AEPD, a sanctionné la banque Bankia pour violation de l’article 5.1 sur la limitation des finalités. Dans cette affaire, le demandeur clôture son compte bancaire, 16 ans plus tard entre en contact avec l’établissement bancaire afin d’obtenir des informations relatives à une problématique d’héritage.
Il s’avère que, conformément à ses procédures internes, la banque conserve en archivage intermédiaire les données de ses anciens clients le temps de la prescription légale (en cas de procès).
Il s’agit d’une finalité ultérieure compatible avec la finalité initiale (gérer le compte client).
Néanmoins, tel que le relève l’autorité de contrôle, utiliser ces données
archivées pour répondre à une nouvelle demande, sans rapport avec les
finalités initiales prévues est contraire au principe de limitation des
finalités de traitement. Il s’agit, en effet, d’un nouveau traitement qui n’était pas prévu initialement par le responsable de traitement et qui s’avère incompatible avec l’existant.
Par conséquent, l’AEPD a décidé d’infliger une amende de 50 000€ le 28 août 2020 pour violation du principe de limitation des finalités d’un traitement de données personnelles.
Mission RGPD face au principe de limitation des finalités
Vous avez du mal à identifier vos finalités de traitement ? Vous n’avez pas le temps de réfléchir et de mettre en place concrètement votre registre de traitements ? Ou vous manquez de moyens pour être en conformité ?
✅ Avec Mission RGPD, vous identifiez simplement les finalités et sous finalités de vos traitements.
Grâce à nos modèles pré remplis, vous trouverez des propositions de rédaction de finalités et de sous finalités prêtes à être utilisées. Vous pouvez évidemment les modifier si nécessaire et même créer vos propres modèles.
Ne perdez plus de temps, c’est si simple !