Dans la section “Comprendre la protection des données : le règlement européen en quelques mots” ci-dessus, la limitation de la finalité était motivée par le fait de restreindre l’utilisation du pouvoir acquis exclusivement à la réalisation des finalités déclarées et légitimes. (Voir la section “1.6.4 Limiter les responsables du traitement à l’utilisation du pouvoir uniquement pour réaliser les finalités légitimes déclarées” pour plus de détails).
Le RGPD définit ce principe comme suit :
Définition del’art. 5(1)(b) du RGPD :
Les données à caractère personnel sont collectées pour des finalités spécifiques, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ; […] (“limitation de la finalité“) ; |
Notons que la première moitié de cette phrase a déjà été discutée dans le cadre du principe précédent. En particulier, l’exigence de spécificité et d’explicitation des finalités est une condition préalable pour pouvoir parler de licéité ; l’exigence de légitimité concerne les buts et a donc été discutée avec la licéité.
Ce qui est discuté ici plus en détail est l’essence de ce principe, à savoir la limitation au traitement compatible avec les finalités. Il s’agit d’une exigence concernant la mise en œuvre de l’activité de traitement, et non les finalités.
Ne pas être traité d’une manière incompatible avec ces finalités
L’essentiel de ce principe est donc contenu dans la demi-phrase “ne pas être traité ultérieurement d’une manière incompatible avec ces finalités”. Cette phrase est analysée plus en détail dans ce qui suit.
La phrase parle de compatibilité avec les finalités. Il ressort clairement de la première moitié de la phrase qu’il s’agit des finalités qui ont été explicitement spécifiées[1] (voir la section 1.1.1.1 ci-dessus). La partie de l’art. 5(1)(b) qui a été représentée par […] et qui sera discutée ci-dessous utilise également le concept de “compatibilité avec les finalités initiales”. Les finalités initiales semblent donc être les mêmes que celles spécifiées (lors de la conception de l’activité de traitement).
L’art. 5(1)(b) exprime ainsi, que le traitement doit être compatible avec :
- les finalités initialeselles-mêmes, ou
- d’autres finalités compatibles avec ces finalités initiales.
La première découle du raisonnement selon lequel les buts sont toujours compatibles avec eux-mêmes.
Le libellé de l’art. 5(1)(b) parle de “traitement ultérieur“. Bien que cela puisse être compris de manière temporaire, c’est-à-dire dans le sens de “après que les finalités initiales ont été réalisées”, l’aspect temporel ne semble pas pertinent pour ce principe. Au contraire, “ultérieur” a le sens de “au-delà” sans signification temporelle et se réfère purement aux objectifs.
La situation est visualisée dans Figure 1:
Figure 1: Le traitement est autorisé à des finalités initiales et compatibles.
Il est important de savoir qu’aucune base légale supplémentaire n’est nécessaire pour poursuivre le traitement à des fins compatibles. Cela est indiqué explicitement dans le considérant 50 du RGPD (2nd phrase). En ce qui concerne le traitement ultérieur à des fins compatibles, il est indiqué :
Dans ce cas, aucune base légale distincte de celle qui a permis la collecte des données personnelles n’est requise. |
Utilisation à des fins incompatibles
Cela soulève la question de savoir comment il peut arriver de traiter des données personnelles à des fins incompatibles et quelles en sont les conséquences.
Il est important de comprendre comment le traitement peut se produire pour pouvoir l’éviter. Les trois exemples suivants illustrent le problème sans prétendre à l’exhaustivité :
- La dérive fonctionnelle : il est courant que les activités de traitement évoluent au fil du temps. Il est également courant qu’elles acquièrent alors de nouvelles fonctionnalités ou “caractéristiques” qui correspondent à un traitement supplémentaire ou modifié. Dans les cas où le responsable du traitement n’exerce pas un contrôle suffisant sur cette évolution, le traitement peut passer inaperçu au-delà des finalités initiales ou compatibles.
- Absence de séparation : Supposons qu’un responsable du traitement exerce plusieurs activités de traitement indépendantes qui poursuivent des finalités distinctes. Si le responsable du traitement ne met pas en œuvre des mesures adéquates pour séparer les différentes activités de traitement, il est facile que les données collectées pour une série de finalités soient utilisées pour d’autres finalités. Ceci est illustré dans Figure 2.
Figure 2: L’absence de séparation conduit à l’utilisation de données à des fins incompatibles.
- Les destinataires qui ont leurs propres finalités: Les destinataires sont des personnes ou des organisations auxquelles des données à caractère personnel sont divulguées (voir la définition à l’art. 4(9) duRGPD). Les destinataires peuvent par exemple être :
- les employés qui accèdent légitimement aux données sur instruction du responsable du traitement pour des finalités compatibles du traitement, ou
- des attaquants externes qui accèdent illégitimement aux données par le biais d’une brèche[2] .
Dans ce dernier cas, il est évident que le destinataire utilise les données à caractère personnel à d’autres fins. Ce sont ces mêmes finalités qui ont probablement motivé l’attaque en premier lieu. Mais même les employés peuvent avoir d’autres intérêts dans les données que les finalités déclarées de leur employeur. Le cas où l’employé connaît déjà la personne concernée et apprend des informations qui ne seraient pas accessibles autrement en est un bon exemple.
Avec la compréhension acquise à partir de ces exemples qui illustrent comment les données peuvent être utilisées avec d’autres finalités, la question des conséquences possibles doit être posée.
Dans tous les cas, les principes fondamentaux de licéité et de légitimité sont susceptibles d’être violés. Selon ces principes, le traitement est interdit à moins qu’il ne soit justifié par une licéité et une légitimité démontrées des finalités. Ce n’est évidemment pas le cas lorsque le traitement est effectué pour des finalités incompatibles, et donc injustifiées.
L’utilisation des données en dehors et au-delà des finalités justifiées permet également aux responsables du traitement malhonnêtes d’accumuler du pouvoir. Cela peut se produire, par exemple, lorsque les responsables du traitement combinent les ensembles de données de personnes dans le cadre d’activités de traitement distinctes, conservent et accumulent des données alors qu’elles ne sont plus nécessaires aux fins poursuivies, voire acquièrent des données auprès d’autres sources afin d’accroître leur pouvoir sur les personnes concernées. Ce pouvoir accumulé dépasse manifestement le gain de pouvoir qui était justifié par la démonstration de la licéité et de la légitimité des finalités initiales.
Il est évident qu’au-delà de la seule violation des principes de protection des données, en fonction des finalités pour lesquelles les données sont utilisées ou violées, les personnes concernées peuvent également subir des dommages matériels ou immatériels. Par exemple, la connaissance de certaines données relatives à la santé peut affecter de manière significative des relations lorsqu’elles sont accessibles à des connaissances ou empêcher des opportunités d’emploi lorsqu’elles sont accessibles à des employeurs potentiels. Lorsqu’ils sont utilisés à des fins criminelles, certains types de données peuvent servir de base à un chantage.
Quand les objectifs sont-ils compatibles ?
Les paragraphes suivants traitent de la manière de déterminer si d’éventuels objectifs supplémentaires sont considérés comme compatibles. Ils s’appuient principalement sur l’art. 6(4) duRGPD.
Dans le cas où une base légalede consentement (voir l’art. 6(1)(a) du RGPD) a été choisie pour le traitement, tout traitement ultérieur à des fins supplémentaires autres que celles compatibles approuvées au préalable (voir ci-dessous) est considéré comme incompatible[3] . Cela s’explique par le fait que le consentement est toujours propre aux finalités spécifiques[4] . Il serait manifestement injuste et non transparent d'”élargir” les finalités du traitement au-delà des finalités spécifiques auxquelles la personne concernée a consenti.
L’art. 6(4) prévoit ensuite les critères suivants que les responsables du traitement doivent utiliser pour déterminer si une finalité supplémentaire est compatible (légèrement reformulé par rapport au RGPD) :
|
Des orientations supplémentaires, y compris des exemples d’application de ces critères, sont disponibles auprès du groupe de travail Article 29 sur la protection des données[5] . Bien que cet avis fasse référence à la directive sur la protection des données (c’est-à-dire le prédécesseur ou le RGPD), de nombreux aspects sont toujours aussi applicables aujourd’hui.
Pour simplifier la détermination de la compatibilité des finalités supplémentaires, le RGPD approuve au préalable certaines des finalités supplémentaires les plus courantes poursuivies dans le cadre d’un traitement ultérieur. À savoir, l’art. 5(1)(b) comprend les éléments suivants :
[Le traitement ultérieur à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales. |
L’Art. 89(1) mentionné exige la présence de garanties supplémentaires.
Dans ce cas, l’art. 89 du RGPD stipule que le traitement ultérieur à ces fins pré-approuvées n’est admissible que si des garanties adéquates sont en place.
- Ce sont également les finalités qui sont communiquées aux personnes concernées, comme l’exigent les art. 13 et 14 du RGPD). ↑
- Les contrôleurs ne sont pas responsables des actions des attaquants, mais seulement de la prévention des attaques par des mesures de sécurité adéquates. ↑
- Notez que l’art. 6(4) du RGPD sur les finalités compatibles exclut explicitement qu’il soit applicable lorsque la base juridique est le consentement. ↑
- En particulier, ces finalités sont spécifiées dans le dialogue qui demande le consentement et cette spécification est un aspect important du caractère éclairé du consentement. ↑
- Groupe de travail Article 29 sur la protection des données, 00569/13/FR, WP203, Avis 03/2013 sur la limitation de la finalité, adopté le 2 avril 2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (dernière visite le 28/05/2020). ↑