Lexique > Finalité

Lexique IT

Finalité

La finalité d’un traitement de données à caractère personnel constitue la raison spécifique pour laquelle les données sont traitées par le responsable du traitement ou le sous-traitant.

Les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes.

Le responsable du traitement, ou les responsables conjoints du traitement, définissent notamment la finalité du traitement. Un sous-traitant ne peut en aucun cas définir la finalité du traitement faisant l’objet de la sous-traitance.

Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement doit notamment tenir compte :

  • De tout lien entre ces finalités et les finalités du traitement ultérieur prévu ;
  • Du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données ;
  • De la nature des données à caractère personnel ;
  • Des conséquences pour les personnes concernées du traitement ultérieur prévu ;
  • De l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

En tout état de cause, la personne concernée doit être informée de la finalité du traitement des données à caractère personnel le concernant, y compris des finalités ultérieures le cas échéant, avant la mise en œuvre dudit traitement afin de garantir la transparence.

Par principe, dès lors qu’un traitement atteint la finalité pour laquelle les données ont été collectées initialement, ces dernières devraient être supprimées puisque leur traitement n’est plus nécessaire. Ainsi, la durée de conservation des données ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

La finalité du traitement doit être prise en considération lors de la détermination de la probabilité et de la gravité du risque pour les droits et libertés de la personne concernée, dans le cadre de la mise en œuvre des mesures de sécurité techniques et organisationnelles du traitement.

Elle permet également d’apprécier le caractère adéquat, pertinent et limité des données à caractère personnel traitées.

Point RGPD

« Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. 

Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. 

Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. » 

Considérant 39 du RGPD

Point jurisprudence

L’autorité de contrôle belge rappelle que « Lors de la détermination de la compatibilité de la finalité d’un traitement ultérieur des données, il est tenu compte : de la relation entre les objectifs pour lesquels les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ; du cadre dans lequel les données à caractère personnel sont collectées et les relations entre les personnes concernées et le responsable du traitement ; de la nature des données à caractère personnel ; des conséquences du traitement ultérieur pour la personne concernée ; et de l’existence de garanties appropriées.».

Autorité de protection des données, 10 novembre 2021, N° 125/2021

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.