RGPD : ma nouvelle finalité est-elle compatible avec la finalité initiale ?

La CJUE propose cinq critères permettant de vérifier la compatibilité de la nouvelle finalité du traitement, avec la finalité initiale. Objectif : assurer un équilibre entre, d’une part, le besoin de prévisibilité et de sécurité juridique concernant les finalités et, d’autre part, la reconnaissance d’une certaine flexibilité au profit du responsable du traitement dans la gestion de ces données.

Les faits

Digi, un fournisseur de services Internet et de télévision en Hongrie, fait face à une défaillance technique d’un serveur et, dans ce cadre, crée une base de données dite « de test » où sont copiées une partie des données des clients.

Plus tard, un « pirate éthique » contacte Digi et démontre avoir eu accès à la base de test qui n’avait pas été effacée par inadvertance.

Digi supprime la base de données de test et notifie à l’autorité un data breach.

L’autorité réagit avec virulence : elle impose une sanction à Digi qui a oublié d’effacer la base de test.

Sur recours, le juge s’interroge :

  • Digi pouvait-il dupliquer une partie de sa base de données (violation éventuelle du principe de limitation des finalités) ?
  • Quand Digi devait-elle effacer cette base de test (violation éventuelle du principe de limitation de la conservation) ?

Comment déterminer la compatibilité des finalités ?

La Cour constate que la finalité initiale ne pose pas de souci en l’espèce : il s’agit de la conclusion et l’exécution des contrats d’abonnement.

Plus délicate est la question de la compatibilité avec cette finalité initiale, de la duplication d’une partie de la base de données dans une autre base de données, dite de test. Cette nouvelle finalité, qui n’est pas « identique » à la finalité initiale, est-elle à tout le moins « compatible » avec celle-ci ?

La CJUE propose cinq critères de vérification de la compatibilité des finalités :

  1. L’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
  2. Le contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
  3. La nature des données à caractère personnel ;
  4. Les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées, et,
  5. L’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

Ces critères présentent trois avantages explique la Cour :

  1. Ils traduisent la nécessité d’un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données à caractère personnel et le traitement ultérieur de ces données ;
  2. Ils permettent de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des abonnés quant à l’utilisation ultérieure de leurs données ;
  3. Ils permettent d’assurer un équilibre entre, d’une part, le besoin de prévisibilité et de sécurité juridique concernant les finalités du traitement de données à caractère personnel précédemment collectées et, d’autre part, la reconnaissance d’une certaine flexibilité au profit du responsable du traitement dans la gestion de ces données.

Sans entrer dans la résolution du litige même, la Cour donne une indication claire : « la réalisation de tests et la correction d’erreurs qui affectent la base de données des abonnés présentent un lien concret avec l’exécution des contrats d’abonnement des clients particuliers, en ce que de telles erreurs sont susceptibles d’être dommageables pour la fourniture du service contractuellement prévu, et pour laquelle les données ont été initialement collectées ».

Quand faut-il effacer les données conformément au principe de limitation de la conservation ?

La CJUE rappelle trois choses :

  • Le principe de la « limitation de la conservation » requiert que le responsable du traitement soit en mesure de démontrer, conformément au principe de responsabilité, que les données sont uniquement conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles ont été ultérieurement traitées.
  • Même un traitement initialement licite de données peut devenir, avec le temps, incompatible avec le RGPD lorsque ces données ne sont plus nécessaires à la réalisation de telles finalités.
  • Dès lors que l’on est en-dehors d’un traitement fondé sur le consentement, le traitement doit répondre à une exigence de « nécessité » : que ce soit pour l’exécution d’un contrat ou la poursuite d’un intérêt légitime, le traitement doit être nécessaire à la finalité poursuivie.

Il incombe donc au responsable de démontrer que le non-effacement des données est nécessaire à la poursuite de la finalité.

Or, s’agissant de tests destinés à résoudre un problème technique ponctuel, le non-effacement des données ne saurait se justifier au-delà de la période de test et la correction des erreurs.

Plus d’infos ?

L’arrêt et les conclusions de l’AG sont disponible en annexe.

Source : Droits et technologies, 14 décembre 2022

Mots clés

Articles recommandés

Traitement des données pour intérêt légitime, quand et comment ? l’EDPB publie ses lignes directrices.

SPF Finances : fermeture fêtes de fin d’année

Déclaration en douane simplifiée : nouvelle circulaire 2024/C/76