La notion de Finalité de traitement

La finalité doit être déterminée, légitime et explicite

La finalité d’un traitement de données personnelles est le pourquoi, l’objectif de l’action que vous avez décidé de mettre en place sur des données personnelles.

Cet objectif doit être rédigé de façon très précise : on parle de finalité déterminée et explicite.

L’objectif doit être légitime, c’est-à-dire respecter le cadre légal en vigueur et ne doit pas être modifié par la suite (on parle alors de détournement de finalité).

La finalité doit être définie précisément avant toute mise en œuvre d’un traitement de données personnelles.

Si la finalité doit évoluer, cette évolution doit être opérée en toute transparence envers les personnes concernées et dans le respect de leurs droits (consultation, modification, suppression, opposition). Le responsable de traitement doit recueillir le consentement des personnes pour ce nouvel objectif.

Prenons un cas concret

Vous venez de faire l’acquisition d’un superbe répertoire dans votre papeterie préférée pour y consigner des informations sur les clients les plus fidèles de votre boutique et leur offrir un cadeau ou une réduction de temps en temps.

  • Ce répertoire est un fichier de traitement de données personnelles.
  • Sa finalité est (par exemple) la gestion de votre clientèle en vue d’établir un programme de fidélité.
  • Votre clientèle doit être informée de l’existence de ce fichier de façon compréhensible et explicite, et du cadre dans lequel vous vous engagez à l’utiliser.
  • Les données collectées doivent être cohérentes avec la finalité définie, et vous vous engagez à n’y consigner que les données strictement nécessaires pour atteindre la finalité de votre fichier.

CE QUE DIT LA LOI :

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

  • Les données sont collectées et traitées de manière loyale et licite ;
  • Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;
  • Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
  • Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Article 6 de la loi Informatique et Libertés

Quelques exemples de finalités de traitement de DP

  • Effectuer les opérations relatives à la gestion des clients, par exemple : les contrats ; les commandes ; les livraisons ; les factures ; la comptabilité, la gestion des comptes clients ; les programmes de fidélité ; le suivi de la relation client tel que la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente ;
  • La gestion d’opérations techniques de prospection ;
  • La sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion ;
  • La réalisation d’opérations de sollicitations ;
  • L’élaboration de statistiques commerciales ;
  • La cession, la location ou l’échange de ses fichiers de clients et de ses fichiers de prospects ;
  • L’organisation de jeux concours, de loteries ou de toute opération promotionnelle à l’exclusion des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de Régulation des Jeux en Ligne ;
  • La gestion des demandes de droit d’accès, de rectification et d’opposition ;
  • La gestion des impayés et du contentieux, à condition qu’elle ne porte pas sur des infractions et/ou qu’elle n’entraine pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat ;
  • La gestion des avis des personnes sur des produits, services ou contenus.

La finalité doit être respectée en tout point

Le RGPD va plus loin : il nous impose de respecter cette finalité tout au long du processus de construction et d’utilisation de ce fichier.

La finalité de traitement d’un fichier peut changer. Cependant, la nouvelle finalité doit respecter les règles d’or du RGPD en tout point et vous devez recueillir le consentement des personnes concernées pour cette nouvelle finalité.

La finalité de traitement d’un fichier doit être licite

Le RGPD parle de licéité du traitement des données.
Un traitement est considéré comme licite lorsqu’il est fondé sur l’une des 6 conditions de licéité suivantes :

  1. 01Recueil du consentement de la personne pour la ou les finalité(s) qui lui ont été présentées.
    Ce consentement doit être :
    Libre : La loi définit que la personne peut refuser ce traitement sans contrainte, et retirer son consentement à tout moment, ce qui met fin au traitement de ses données.
    Spécifique : il ne doit correspondre qu’à un seul traitement et pour une finalité précise. S’il y a deux finalités, il doit y avoir deux consentements distincts.
    Éclairé : les informations nécessaires au recueil du consentement doivent être présentées de façon claire, précise et distincte des autres informations diffusées à la personne. Elles doivent préciser le nom du responsable du traitement, les finalités du traitement, les catégories de données collectées, et le cas échéant si ces données feront l’objet d’un transfert hors Union Européenne.
    Univoque : le consentement doit être sans ambiguïté et nécessite une action positive de la part de la personne (il est notamment interdit de pré-cocher une case de consentement ou de renvoyer la personne à l’acceptation globale d’un contrat, ou encore de demander à la personne d’indiquer son refus).
    J’attire votre attention sur 2 point importants :
    – Le consentement des personnes de moins de 15 ans nécessite conjointement le recueil du consentement du titulaire de l’autorité parentale.
    – Vous devez être en mesure d’apporter la preuve de ce consentement Et des conditions dans lesquelles ce consentement a été recueilli.
  2. 02Traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie prenante.
    Le RGPD définit également la notion de mesures pré-contractuelles (par exemple, recueil de données personnelles pour établir un devis ou pour livrer un produit)
  3. 03Traitement nécessaire à une obligation légale imposée au responsable de traitement
    Le traitement des données personnelles est considéré comme licite s’il est imposé au responsable de traitement par un texte de loi ou un décret de l’Union Européenne ou de son pays de résidence.
  4. 04Traitement nécessaire à la sauvegarde d’intérêts vitaux
    Le traitement des données personnelles est considéré comme licite s’il est strictement nécessaire à la survie de la personne concernée, y compris si elle est dans l’incapacité d’exprimer son consentement. C’est le cas pour des situations extrêmes : catastrophe écologique ou sanitaire, urgence vitale,…
  5. 05Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice d’une autorité publique
    De plus, le traitement des données personnelles est considéré comme licite dans ce cadre s’il est exercé par une personne compétente et légitime.
    Exemple de traitement nécessaire à l’exécution d’une mission d’intérêt publique : Inscription d’un enfant à l’école.
    Exemple de traitement relevant de l’exercice d’une autorité publique : Gestion des missions de la police municipale par le maire d’une commune.
  6. 06Traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement.
    La question doit être posée en ce sens : ai-je un intérêt légitime à recueillir un certain nombre de données personnelles pour le bon exercice de mon activité dans le respect des intérêts, des droits fondamentaux et des libertés des personnes concernées ?

Le principe de minimisation des données

Le RGPD définit cette notion de minimisation des données ainsi : « Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (RGPD – Article 5-1).
Vous ne devez donc collecter que les données qui sont strictement nécessaires pour atteindre l’objectif que vous vous êtes fixé.
Certaines données sont admises comme facultatives (si elles sont exposées ainsi aux personnes concernées) afin de bénéficier de services complémentaires (par exemple : le stockage du jour et du mois de naissance dans le cadre d’un programme fidélité peut permettre aux personnes de recevoir un code promo ou un cadeau le jour de leur anniversaire).
Soyons plus précis : si vous souhaitez offrir un cadeau le jour anniversaire de vos clients, vous avez besoin de consigner dans votre fichier le jour et le mois de naissance mais pas l’année de naissance.
Si vous souhaitez faire des statistiques sur le comportement d’achat de vos clients, le recueil de la date de naissance n’est pas admis par le RGPD : vous devez opérer sur des tranches d’âge, la date de naissance complète n’étant pas strictement nécessaire à l’analyse de ces comportements.

Le principe d’exactitude des données

Vous devez veiller à ce que les données stockées soient exactes et mises à jour périodiquement. Toute donnée inexacte ou obsolète doit être corrigée ou supprimée dans les meilleurs délais.

Revenons à notre cas concret

Si la finalité de traitement de votre carnet est de gérer un programme de fidélité :

  • vous ne pouvez pas y inscrire vos fournisseurs ou vos salariés
  • vous ne pouvez pas transmettre son contenu à des tiers (sauf si vous avez recueilli préalablement le consentement spécifique de la personne concernée pour ce traitement de façon distincte de la première finalité)
  • vous ne pouvez pas utiliser les données de ce carnet dans un autre but, comme par exemple l’abonnement à votre newsletter. Si vous souhaitez mettre en place une newsletter, vous devrez informer les personnes listées dans votre carnet et leur demander leur consentement pour ce nouveau traitement qui sera fait de leurs données.
  • vous devez vous assurer que les informations de vos clients sont toujours exactes. Si un e-mail vous est renvoyé en erreur, si le numéro de téléphone n’est plus attribué, corrigez ou supprimez ces données.

    Les 4 règles de la finalité d’un traitement :

    1. Un objectif précis
    2. Compréhensible par tous
    3. Cohérent
    4. Légitime

    Accéder aux formations sur le RGPD
    Retour au Sommaire
    Comprendre le RGPD