Le Règlement Général sur la Protection des Données (RGPD) a vocation à responsabiliser les entreprises sur le traitement des données personnelles.
Dans le RGPD, le concept de finalité permet de répondre en partie à cette ambition. Il s’agit de limiter la manière dont le responsable de traitement va recueillir et traiter les données.
Afin d'y voir plus clair sur cette obligation, nous vous proposons dans ce guide d'étudier :
- ce qu'est la finalité d'un traitement de données personnelles ;
- la portée de sa mise en oeuvre ;
- les meilleures pratiques à mettre en place.
Comprendre la finalité de traitement des données
La finalité fait partie de l'ensemble des principes édictés par le RGPD parmi lesquels la transparence, la durée de conservation limitée, l'exercice des droits, la base légale et la sécurité des données.
Finalité : définition
La finalité doit être déterminée, explicite et légitime.
Concrètement, l'organisme doit veiller à récolter et traiter des données qui remplissent un objectif précis, compréhensible et pertinent. De ce fait, la même donnée ne pourra pas être traitée ultérieurement d'une manière incompatible avec l'objectif préalablement défini.
Par exemple, si vous utilisez des données personnelles de candidats pour un recrutement, vous ne pouvez pas ensuite exploiter leurs mails à des fins commerciales.
Néanmoins, le RGPD prévoit quelques exceptions : les données peuvent être utilisées sous certaines conditions à des fins de recherche scientifique, historique ou à des fins statistiques.
Exemples de finalités dans les entreprises
Le traitement des données se retrouve dans toutes les activités de l'entreprise.
En effet, les entreprises exploitent des données à longueur de temps afin de mener à bien leurs différentes missions commerciales, RH, marketing, etc.
Recrutement : l'entreprise peut étudier des CV. Ces derniers comportent en général les coordonnées de la personne, son passé professionnel, les formations suivies, etc.
Gestion de la clientèle : cela implique de traiter des informations pour honorer une transaction ou le S.A.V. Les données sont souvent exploitées de la façon suivante : centralisation dans un CRM, l'historique des achats, adresse de facturation et de livraison, etc.
Protection des biens et des personnes : l'entreprise peut justifier la mise en place de dispositifs comme la vidéosurveillance ou les contrôles d'accès plus ou moins poussés afin de prévenir des intrusions et de veiller à la sécurité des collaborateurs.
Enjeux liés à la finalité dans le RGPD
La finalité du traitement est une sorte de balise qui protège la personne concernée d'un recueil abusif ou d'une exploitation irraisonnée de ses données personnelles. Surtout, ce principe donne l'impulsion à d'autres obligations.
Transparence et consentement
La transparence désigne l'obligation pour les entreprises d'informer les personnes sur les raisons pour lesquelles leurs données personnelles sont collectées et traitées.
La finalité doit donc être un élément sur lequel vous devez communiquer dès le départ. Vous pouvez ainsi les en informer sur votre site web.
Par ailleurs, lorsque le traitement de données personnelles repose sur le consentement, vous devez, en tant que responsable de traitement, faire en sorte d'expliquer votre intention de façon limpide. Dans ces conditions, la personne concernée pourra vraiment donner son accord en connaissance de cause.
Ainsi, si vous mettez en place une newsletter, dites pourquoi vous récoltez le mail via un formulaire et proposez une case à cocher indiquant l'acceptation de recevoir ce type de contenu.
Limitation de la collecte
La finalité implique que le recueil des données soit pertinent, c'est-à-dire strictement nécessaire pour atteindre l'objectif poursuivi.
Ainsi, la finalité a pour corollaire le principe de minimisation. Autrement dit ? Evitez la collecte excessive. Si vous vendez un logiciel BtoB, vous avez besoin a priori que du mail professionnel de votre client et le siège social de l'entreprise, et non de son mail personnel, ni de son adresse privée.
La CNIL recommande de vous poser 3 questions pour bien respecter le principe de finalité :
- Quel est l'objectif de la donnée collectée et de son traitement ?
- Est-ce légitime ?
- Comment expliquer clairement cette finalité ?
Durée de conservation
Comme vous devez sans doute le savoir, il vous est interdit de conserver des données indéfiniment.
Au-delà d'un certain délai, vous devez les supprimer ou les anonymiser.
Excepté le cas où le traitement d'un ficher doit être conservé conformément à des prescriptions légales ou réglementaires, pour les autres cas de figure, il vous appartient de déterminer la durée nécessaire, à condition de pouvoir le justifier, en fonction de la finalité du traitement initial.
Exercice des droits
L'exercice de certains droits est lié au principe de finalité :
- les personnes peuvent accéder à leurs données pour vérifier notamment qu'elles sont exactes par rapport à la finalité poursuivie ;
- les individus ont la possibilité de demander la suppression de leurs données si elles ne veulent plus que leurs informations soient utilisées pour remplir une finalité. Il en est ainsi lorsqu'un utilisateur ne souhaite plus faire partie de la base de données des mails qui reçoivent une newsletter ;
- les utilisateurs peuvent s'opposer au traitement de leurs données si elles ne souhaitent plus qu'elles soient utilisées à certaines fins.
Respect du principe de finalité : nos conseils pratiques
En tant que responsable de traitement, il est essentiel que vous ayez une vue exhaustive sur les traitements de données personnelles et leurs finalités.
Audit de l'ensemble des traitements de données personnelles
La réalisation d'un audit complet du traitement des données est incontournable. Ce travail est relativement fastidieux et il doit être effectué en collaboration avec vos différents services.
- Identifier toutes les sources de collecte : listez tous les points par lesquels des données personnelles sont collectées, que ce soit via des formulaires en ligne, des enquêtes, des inscriptions sur votre site web, etc.
- Recenser les traitements : créez un inventaire de tous les traitements des données, en détaillant le type de données et bien sûr leur finalité. Profitez en aussi pour définir la base légale justifiant leur collecte et l’actuelle durée de conservation.
- Effectuer un tri : si le fichier en votre possession n’est pas strictement utile à votre finalité, cela signifie que vous n’êtes pas conforme. Surtout, ne cédez pas à la tension de la collecte « au cas où ». C’est une excuse qui ne fonctionne absolument pas en cas de contrôle !
Documentation sur les finalités
Le principe d'accountability oblige le responsable de traitement à documenter sa conformité.
L'idée ? Être capable à tout moment de pouvoir justifier vos actions concernant les données personnelles qui vous sont confiées.
Ainsi, les finalités pour lesquelles elles sont collectées doivent être consignées. La tenue de votre registre de traitement est un moyen efficace pour faire le point sur votre pratique et prouver que vous avez rempli toutes vos obligations (en définissant non seulement la finalité du traitement, mais également les obligations qui en découlent comme la base légale, la durée limitée, etc.).
Revue régulière des finalités
Le traitement de données personnelles n'est pas figé dans le temps. Une donnée dont le traitement est justifié à un moment T peut ne plus l'être quelques mois après.
La finalité doit toujours être actuelle. Chaque nouvelle activité au sein de votre entreprise génère forcément une manipulation de données et de fichiers dont les finalités doivent être définies. De la même façon, supprimez les données à caractère personnel qui n'ont plus d'utilité.
Vous l'avez compris, vous avez l'obligation de mettre en place des process pour nettoyer régulièrement les données en votre possession et vérifier si les objectifs initiaux restent d'actualité.
En cas de changement, modifiez la documentation correspondante et informez les personnes concernées des nouvelles finalités.
Sensibilisation des collaborateurs
Le traitement de données personnelles fait partie du quotidien de vos équipes. Ils doivent être impliqués et formés, et ce pour plusieurs raisons :
- la minimisation : sur le terrain, il existe un dérapage facile, à savoir la collecte de données "au cas où". Il est impératif qu'ils ne demandent que les informations dont ils ont strictement besoin (et pour lesquels vous avez prévu des process établis comme des formulaires).
- la mise à jour : ils mettent en place de nouvelles pratiques ? En abandonnent d'autres ? Alors, la documentation doit être modifiée et certaines données supprimées.
- la gestion des habilitations : les finalités sont la meilleure façon de définir quelles sont les personnes légitimes à accéder aux fichiers. Ainsi, le service commercial n'a par exemple aucune raison valable d'accéder aux informations détenues par l'équipe RH.