Déterminer les finalités
Home » RGPD » Concepts principaux » Protection des données dès la conception et par défaut » Application des principes de protection des données dans les différentes phases du traitement » Déterminer les finalités

La conception d’une activité de traitement passe par la détermination de ses finalités. Cela permet de définir l’objectif que l’activité de traitement doit atteindre. Cette spécification de “ce” qui doit être fait est encore relativement abstraite et ne précise pas “comment” atteindre cet objectif. Le “comment” est soumis à la détermination des moyens.

Les objectifs sont généralement déterminés par la direction qui représente et est responsable d’une organisation (ou d’une unité organisationnelle). Les objectifs sont généralement exprimés dans le même langage que la mission ou le mandat de l’organisation. En d’autres termes, ils proviennent du “domaine d’application” et sont dépourvus de tout contenu technique. Une spécification d’objectif ne permet pas de déterminer les décisions techniques telles que les ressources (c’est-à-dire les moyens) nécessaires pour atteindre les objectifs, les données à collecter, etc. En fait, une spécification d’objectif peut être mise en œuvre de nombreuses façons différentes. L’objectif de la détermination des moyens est alors de trouver la meilleure mise en œuvre du point de vue de la protection des données.

Selon l’art. 5(1)(a) du RGPD, les finalités doivent être “spécifiques [et] explicites”. Cela signifie qu’elles doivent être saisies sous une forme écrite précise.

La détermination des finalités du traitement est généralement un processus itératif. En commençant par la ou les principales finalités, la spécification est continuellement complétée et affinée jusqu’à ce qu’elle aboutisse à une version finale. Chaque version doit être évaluée, en tenant compte des principes de protection des données, des attentes raisonnables des personnes concernées et du risque global que le traitement est susceptible de présenter. Sur la base de cette évaluation, des améliorations sont apportées à la spécification des finalités afin de mieux respecter les principes, d’être plus en phase avec les attentes des personnes concernées et de maintenir l’équilibre entre la nécessité et l’utilité du traitement et le risque qu’il présente pour les personnes concernées. Les itérations peuvent être considérées comme un processus visant à trouver l’impact minimal sur les droits et libertés des personnes concernées tout en réalisant les objectifs essentiels de l’organisation. Généralement, à chaque intégration, la spécification de la finalité devient plus ciblée, plus étroite et plus spécifique et impose un impact moindre sur les personnes concernées.

Ce processus est visualisé dans laFigure 2.

Figure 2: Le processus de spécification de l’objectif.

La protection des données dès la conception applique les principes de la protection des données à chaque étape de la détermination. Si certains des principes de protection des données sont plus facilement applicables aux moyens de traitement, la légitimité, la léicitéet la loyautésont directement applicables aux finalités. Indirectement, la minimisation des données est également applicable dans le sens où l’impact du traitement sur les personnes concernées doit être minimisé. Cela se traduit généralement par une minimisation des données collectées sur les personnes concernées. Il convient également de noter que la limitation de la finalité lors de la détermination des moyens n’a de sens que si les finalités sont spécifiées de manière étroite ; ce n’est qu’alors qu’il est possible de déterminer avec précision si les données ou les étapes du traitement sont effectivement nécessaires aux finalités. Les grands principes sont examinés plus en détail dans ce qui suit.

Licéité(voir “Licéité, loyautéet transparence” dans la section “Principes” de la partie II des présentes lignes directrices) :

Conformément à l’art. 6 du RGPD, le traitement est licite si l’une des bases légales décrites dans son paragraphe 1 s’applique. L’art. 9 du RGPD ajoute des exigences supplémentaires pour les catégories particulières de données. Pour se conformer au principe de licéité, le responsable du traitement doit choisir une base légale parmi les articles 6 et éventuellement 9 du RGPD pour chaque finalité que le traitement doit réaliserpar l’activité de traitement.

Il convient de noter qu’il est fréquent qu’une activité de traitement poursuive une multitude de finalités qui utilisent des bases légales différentes. Bruegger et al.[1]en ont donné une illustration en prenant l’exemple des achats en ligne.

Légitimité(voir “Licéité, loyautéet transparence” dans la section “Principes” de la partie II des présentes lignes directrices) :

Alors que la licéité concerne les art. 6 et 9 du RGPD, la légitimité exige de suivre la loi au sens large. Elle n’est donc pas limitée au RGPD mais s’étend à toute autre loi applicable. On peut soutenir que les lois ne doivent pas seulement être suivies à la lettre mais aussi dans leur esprit. Dans de nombreuses situations, la légitimité peut également être interprétée comme incluant le droit souple, comme les exigences éthiques et les normes professionnelles communément utilisées. Elle peut même s’étendre à la protection des valeurs de la société dans son ensemble.

L’évaluation de la légitimité des finalités dépend largement de la nature, de la portée et du contexte du traitement. Dans certains cas, le respect de la légitimité peut nécessiter des démarches formelles. C’est par exemple typique des organismes de recherche où une activité de traitement doit être approuvée de manière préventive par un comité d’éthique de la recherche.

Loyauté(voir “Licéité, loyautéet transparence” dans la section “Principes” de la partie II des présentes lignes directrices) :

Un élément clé de la loyauté consiste à prendre en compte les attentes raisonnables et les situations des personnes concernées. Les intérêts du responsable du traitement, tels qu’exprimés dans la spécification de la finalité, sont ensuite mis en balance avec ceux des personnes concernées. L’impact sur les droits et libertés des personnes concernées doit être justifié par un niveau adéquat de nécessité et d’avantages potentiels pour le responsable du traitement.

L’évaluation du caractère équitable des finalités nécessite généralement d’évaluer les attentes des personnes concernées. Il existe plusieurs façons de procéder, depuis le simple fait de “se mettre à la place des personnes concernées” jusqu’à la participation d’organisations de consommateurs ou la réalisation d’enquêtes.

Pour évaluer les attentes des personnes concernées, il est souvent utile de distinguer différents personae qui représentent différents types et situations de personnes concernées. Celles-ci devraient également inclure les personnes concernées particulièrement vulnérables (telles que les mineurs ou les patients), ou les groupes de personnes concernées qui peuvent être impactées par le traitement de manière beaucoup plus significative que la moyenne.

La mise en balance doit tenir compte des risques que l’activité de traitement représente pour les droits et libertés des personnes concernées. Une évaluation globale rapide du risque est fournie par les 9 critères du groupe de travail Article 29 sur la protection des données[2] pour déterminer si une activité de traitement entraîne un risque élevé (et nécessite donc une analyse d’impact sur la protection des données). Cette évaluation doit être complétée par une analyse de la manière dont les catégories particulières de personnes concernées et les personnes vulnérables sont affectées par l’activité de traitement prévue.

Notez qu’un test de mise en balance est formellement requis lorsque la base légale de l’intérêt légitime (voir art. 6(1)(f) du RGPD) a été choisie pour une finalité donnée. Des orientations sur la manière de réaliser un test de mise en balance dans ce contexte ont été fournies par le groupe de travail Article 29 sur la protection des données[3] (voir “Intérêt légitime et test de mise en balance”, section “Principaux outils et actions” de la partie II). Dans un cadre plus général, le CEPD a fourni des lignes directrices sur la proportionnalité[4] .

 

 

  1. Bud P. Bruegger, Eva Schlehahn et Harald Zwingelberg, Data Protection Aspects of Online Shopping – A Use Case, W3C Data Privacy Vocabularies and Controls Community Group, 12 décembre 2019, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (dernière visite le 15/7/2021).
  2. Voir les pages 9 à 11 du document Article 29 Data Protection Working Party, WP 248rev.01, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for purposes of Regulation 2016/679, Adopté le 4 avril 2017, As last Revised and Adopted on 4 October2017, https://ec.europa.eu/newsroom/article29/items/611236 (dernière visite le 15/7/2021).
  3. dans Article 29 Groupe de travail sur la protection des données, WP217, Avis 06/2014 sur la notion d’intérêts légitimes du responsable du traitement des données au titre de l’article 7 de la directive 95/46/CE, adopté le 9 avril 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (dernière visite le 15/7/2021).
  4. Contrôleur européen de la protection des données, Lignes directrices du CEPD sur l’évaluation de la proportionnalité des mesures qui limitent les droits fondamentaux à la vie privée et à la protection des données à caractère personnel, 19 décembre 2019, https://edps.europa.eu/data-protection/our-work/publications/guidelines/assessing-proportionality-measures-limit_en (dernière visite le 15/7/2021).

 

Aller au contenu principal