Question / réponse portant sur la finalité du traitement des données

RGPD : Peut-on utiliser les données personnelles ?

En naviguant sur la toile internet, je suis arrivé à découvrir le site de la commission européenne, là-bas y sont développer plusieurs types d'articles portant sur le RGPD.

L'un d'entre eux pose la question sur le fait de traiter les données pour toutes les finalités possibles et deuxième porte sur le fait d'utiliser ou non les données à d'autres fins. Voici le lien de l'article pour vous présenter la source de l'information.

 

Peut-on utiliser les données personnelles ?

Réponse

Non. Vous devez savoir pour quelle finalité vous souhaitez traiter les données à caractère personnel et en informer les personnes dont vous traitez les données. Vous ne pouvez pas simplement indiquer que les données à caractère personnel seront collectées et traitées. Ce point est connu comme le principe de la «limitation des finalités».

Références

Groupe de travail «Article 29», Avis 03/2013 sur la limitation des finalités (WP 203)


Peut-on utiliser les données personnelles à d’autres fins?

 
Réponse

Oui, mais uniquement dans certains cas. Si votre entreprise/organisation a collecté des données sur la base d’un intérêt légitime, d’un contrat ou d’intérêts vitaux, celles-ci peuvent être utilisées pour une autre finalité mais uniquement après avoir vérifié que la nouvelle finalité est compatible avec la finalité initiale.

Une attention devrait être accordée aux points suivants:

  •     le lien entre la finalité initiale et la finalité nouvelle ou à venir;
  •     le contexte dans lequel les données ont été collectées (Quelle est la relation entre votre entreprise/organisation et la personne concernée?);
  •     le type et la nature des données (Sont-elles sensibles?);
  •     les éventuelles conséquences du traitement ultérieur envisagé (Quel impact aura-t-il sur la personne concernée?);
  •     l’existence de garanties appropriées (telles que le chiffrement ou la pseudonymisation).

Si votre entreprise/organisation souhaite utiliser les données à des fins statistiques ou de recherche scientifique, il n'est pas nécessaire de procéder à un test de compatibilité.

Si votre entreprise/organisation a collecté des données sur la base du consentement ou en se conformant à une exigence légale, aucun traitement ultérieur dépassant le cadre des domaines couverts par le consentement initial ou la disposition du droit n’est possible. Le traitement ultérieur nécessiterait d’obtenir un nouveau consentement ou une nouvelle base juridique.
Exemples

Un traitement ultérieur est possible

Une banque a un contrat avec un client pour lui fournir un compte bancaire et un prêt personnel. À la fin de la première année, la banque utilise les données à caractère personnel du client pour vérifier s’il est éligible à un meilleur type de prêt et à un plan d’épargne. Elle en informe le client. La banque peut à nouveau traiter les données du client car les nouvelles finalités sont compatibles avec les finalités initiales.

Un traitement ultérieur n’est pas possible

La même banque souhaite partager les données du client avec des compagnies d’assurance, en s’appuyant sur le même contrat relatif à un compte bancaire et à un prêt personnel. Ce traitement n’est pas permis sans le consentement explicite du client étant donné que la finalité n’est pas compatible avec la finalité initiale pour laquelle les données ont été traitées.

Références

    Article 5, paragraphe 1, point b), article 6, paragraphe 4, article 89, paragraphe 1 et considérants 39) et 50) du RGPD
    Groupe de travail «Article 29», Avis 03/2013 sur la limitation des finalités (WP 203)

 

J'espère que vous avez apprécié lire, je vous conseil de lire sur le même sujet l'article posant la question sur le type de données qui peut-être traité et sous quelles conditions ?

 

Divers articles sur la RGPD qui pourrait vous intéresser...


La protection des données : son réglement en Europe (RGPD) et son délégué (DPO)


Divers articles sur la RGPD qui pourrait vous intéresser...