Le RGPD impose des règles strictes pour l’utilisation des données personnelles. Au cœur de ces règles, le principe de limitation des finalités. Chaque traitement de données doit respecter trois exigences fondamentales : être déterminé, explicite et légitime. Ces critères sont cumulatifs. Le non-respect de l’un d’entre eux rend le traitement illicite.
1) Définir une finalité déterminée : la nécessité d’un objectif précis
Pour se conformer au RGPD, le responsable du traitement doit définir avec précision la finalité du traitement avant toute collecte de données. Cette exigence s’inscrit dans l’obligation d’accountability, qui impose d’être capable de démontrer la conformité du traitement à tout moment. Il ne suffit pas d’évoquer une description technique ou opérationnelle : les objectifs doivent être clairs, concrets et compréhensibles, tant pour les personnes concernées que pour les autorités de contrôle.
Les autorités de protection des données, comme la CNIL et le Conseil d’État, exercent une vigilance stricte sur cette obligation. Ainsi, la CNIL a sanctionné une société ayant collecté des données à des fins de sondage, puis détourné ces données pour de la prospection commerciale, sans que cette seconde finalité ait été définie ni portée à la connaissance des personnes dès le départ. Dans un autre cas, le Conseil d’État a annulé une disposition d’un décret concernant la gendarmerie, considérant que la finalité annoncée d’ »exploitation dans d’autres traitements » restait trop vague et imprécise.
De manière générale, lorsqu’une finalité reste floue ou générale, elle expose le traitement au risque d’être jugé illicite. Cela a été illustré notamment dans des affaires concernant la lutte contre la fraude fiscale, où les autorités ont exigé une définition beaucoup plus précise des objectifs poursuivis. Définir rigoureusement la finalité constitue donc une étape fondamentale, tant pour respecter les droits des personnes que pour garantir la sécurité juridique du traitement de données.
2) Exiger une finalité explicite : clarifier pour les personnes concernées
Le responsable du traitement ne peut pas garder la finalité pour lui seul. Il doit l’expliquer clairement aux personnes concernées. Cette transparence leur permet de comprendre l’usage de leurs données et, si nécessaire, de donner un consentement libre et éclairé. Elle aide aussi les autorités de contrôle à vérifier la conformité du traitement. Enfin, elle permet aux sous-traitants de connaître exactement leurs obligations.
La CNIL sanctionne régulièrement le manque de clarté. Elle a, par exemple, condamné l’utilisation de mentions vagues concernant la prospection commerciale par des tiers. Ces imprécisions induisaient les personnes en erreur. Elle a aussi sanctionné l’absence d’information claire sur l’usage des cookies. Dans ces cas, les utilisateurs n’étaient pas correctement informés de l’objectif réel de la collecte.
Le Conseil d’État renforce cette exigence dans sa jurisprudence. Il a rappelé l’obligation de transparence à propos de « Parcoursup » ou encore lors de la transmission de données liées aux demandes d’asile.
La Cour de justice de l’Union européenne (CJUE) insiste elle aussi : la finalité doit être « compréhensible sans équivoque ». Pour évaluer cette condition, deux éléments comptent : l’information donnée aux personnes en amont et l’inscription précise de la finalité dans le registre des traitements.
3) Assurer une finalité légitime : fonder le traitement sur une base juridique solide
La finalité doit enfin être légitime. Elle repose sur l’existence d’une base juridique valable au regard du RGPD. Parmi ces bases figurent le consentement de la personne concernée, l’exécution d’un contrat, l’obligation légale, la sauvegarde des intérêts vitaux, la mission d’intérêt public ou encore l’intérêt légitime du responsable du traitement.
La CNIL a validé plusieurs traitements comme légitimes, notamment la gestion des demandes de nationalité par le système « NATALI » ou la prévention d’incidents par les gardes champêtres. Le Conseil d’État a également validé des finalités de police administrative et judiciaire, par exemple pour le fichier « STADE » relatif aux événements sportifs.
Cependant, la légitimité d’une finalité n’est jamais acquise par sa simple énonciation. Une finalité disproportionnée ou abusive peut être sanctionnée. Ainsi, l’utilisation de la vidéosurveillance pour contrôler l’activité des employés a été jugée illégitime par la CNIL dans certains cas. En Hongrie, la conservation injustifiée de bases de données tests a également été sanctionnée. Selon l’avocat général Pitruzzella, la légitimité d’une finalité doit être validée en fonction des conditions concrètes de sa mise en œuvre.
4) Respecter les 3 Caractéristiques pour un Traitement Conforme
Pour être conforme au RGPD, la finalité d’un traitement doit être déterminée, explicite et légitime. Ces trois critères sont obligatoires et doivent être réunis.
Déterminer la finalité, c’est définir clairement l’objectif poursuivi, sans formule vague ni usage détourné. Ensuite, cette finalité doit être communiquée aux personnes concernées de manière claire, accessible et sans ambiguïté. Enfin, elle doit reposer sur une base juridique solide, comme le consentement ou l’exécution d’un contrat.
Respecter ces conditions permet de garantir la transparence du traitement, de sécuriser juridiquement l’organisme responsable et de protéger les droits des personnes concernées.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
