En principe, le RGPD interdit le traitement des données à caractère personnel, sauf s’il est effectué à des fins légitimes et licites[1] .
Une finalité décrit un objectif concret qui doit être réalisée par le traitement.
Légitime signifie la conformité à la lettre de la loi (sans se limiter au RGPD), à l’esprit de la loi (par exemple, sans exploiter les vides juridiques), aux valeurs de la société (telles qu’exprimées par exemple dans la Charte européenne des droits fondamentaux) et aux principes de l’éthique. Dans certains domaines de recherche, le respect de l’éthique peut être vérifié dans le cadre de procédures formelles telles que l’approbation par un comité d’éthique de la recherche.
La licéité est définie à l’article 6 du RGPD. En particulier, pour que le traitement soit licite, ses finalités doivent relever de l’une des six catégories prévues, appelées base légale[2] . Les responsables du traitement ne sont autorisés à traiter des données à caractère personnel que s’ils peuvent présenter une base légale valable.
En ce qui concerne le problème abordé par la protection des données, cela signifie que l’acquisition d’un pouvoir sur les individus n’est alors autorisée que lorsqu’elle sert des objectifs légitimes du type de ceux prévus par le RGPD.