Sachez définir la finalité de votre traitement de données
Publié le :
Dernière modification le :
Vous ne trouvez pas la réponse à votre question dans cet article ?
« Les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. » (RGPD)
Tout traitement de données personnelles doit avoir une finalité. C’est l’objectif du traitement mis en place, ce à quoi les données que vous avez collectées vont servir.
Comprendre le principe de finalité du traitement
La finalité énoncée doit permettre aux personnes concernées de comprendre l’usage que vous allez faire de leurs données personnelles.
La finalité énoncée doit être respectée scrupuleusement.
Vous ne pouvez pas utiliser les données personnelles collectées pour un autre usage que celui que vous avez défini et annoncé, et pour lequel les personnes ont donné leur accord.
Il est donc important de définir correctement la finalité du traitement et de la formuler de manière explicite.
Les impacts de la finalité
La finalité du traitement est un principe déterminant, car de celle-ci vont découler la nature des données collectées (en respectant le principe de minimisation), leur durée de conservation, et la gestion des habilitations (à qui vous allez donner accès à ces données).
Comment définir la finalité du traitement ?
Contrairement à la base légale, la formulation de la finalité du traitement reste libre, à condition qu’elle soit déterminée, explicite et légitime.
Voici quelques finalités courantes pour les traitements mis en place sur un site Web :
Vous récoltez des données personnelles sur votre site Web pour vendre un nouveau modèle de véhicule dans votre concession automobile ?
Le recueil de données a lieu via un formulaire en ligne sur une landing page dédiée, accessible via un lien sur vos publicités en ligne (display, réseaux sociaux, SEA…). Votre objectif final est bien sûr d’augmenter vos ventes à travers ce dispositif. Mais concrètement, les personnes intéressées seront recontactées par le service commercial.
La finalité de ce traitement de données personnelles peut être énoncée ainsi :
Attention à ne pas confondre la finalité avec la base légale, dans le cas présent « le contrat ».
Vous avez publié sur votre site Web un poste à pourvoir dans votre entreprise, et les internautes peuvent postuler via un formulaire ?
La finalité de ce traitement de données personnelles peut être formulée ainsi :
Attention en cas de recours à un outil d’Intelligence Artificielle (AI) dans votre processus de recrutement. Vous devez le préciser dans vos mentions d’informations et toute personne qui postule doit pouvoir faire valoir son droit de ne pas faire l’objet d’une décision automatisée.
Vous vendez des ebooks en version PDF, que vous envoyez par email ?
Vous ne pouvez pas mettre en place un traitement de données personnelles récoltant les adresses postales avec comme finalité d’assurer la livraison. Puisque vous ne livrez pas physiquement vos produits, la finalité de ce traitement ne serait pas légitime.
Certaines extensions WordPress de CMP (Consent Management Platform) peuvent proposer des finalités incorrectes, qu’il vous appartient de vérifier et de modifier.
Une extension très utilisée pour gérer le consentement aux cookies présente dans sa description des cookies fonctionnels le texte suivant :
« Dans la finalité d’intérêt légitime », ça n’existe pas ! En effet, l’intérêt légitime est une base légale, pas une finalité. Si vous utilisez une extension affichant cette expression, il faut modifier ce texte qui figure par défaut.
Le cas des finalités multiples
Un même traitement peut avoir plusieurs finalités. Cette situation présente une incidence sur le recueil du consentement lorsque le consentement est la base légale du traitement.
Le dépôt de cookies
Le consentement doit être spécifique, c’est-à-dire qu’il ne doit concerner qu’une seule finalité. Vous devez donc recueillir autant de consentements que de finalités.
Concrètement, vous ne pouvez pas proposer une case à cocher unique pour recueillir le consentement de l’internaute pour l’ensemble des finalités. Vous devez offrir des cases à cocher distinctes (ou des boutons à bascule distincts) pour chaque finalité. Ces éléments ne doivent pas être pré-cochés ou pré-activés, le consentement pour être valable devant résulter d’un acte volontaire de la part de l’internaute.
Dans le cas d’un dépôt de cookies annoncé via votre bannière de recueil de consentement.
Vous devez recueillir un consentement distinct pour chaque finalité. L’internaute doit pouvoir exprimer son consentement :
Le responsable CRM souhaite proposer aux internautes de s’abonner à la newsletter et de recevoir des offres commerciales ?
Vous devez recueillir un consentement distinct pour chaque finalité :
Où doit figurer la finalité du traitement ?
Sur un site Web, elle sera précisée sur les mentions d’information lors de la collecte de données, ainsi que dans la politique de confidentialité.
Concernant les documents de la conformité, la finalité de la collecte doit figurer sur votre registre des traitements si vous êtes responsable de traitement, et sur le registre des catégories de traitements si vous êtes sous-traitant.
Attention au détournement de finalité !
Vous ne pouvez pas utiliser les données collectées pour une autre finalité que celle que vous avez définie et annoncée. Sinon, vous tombez sous le coup du détournement de finalité, qui vous expose à de lourdes sanctions.
Vous ne pouvez pas non plus collecter ou garder des données « au cas où » elles pourraient vous servir.
Vous avez recueilli des leads pour vendre une formation ?
Vous ne pouvez pas inscrire ces personnes à la liste d’envoi de votre newsletter.
Quels sont les risques d’un détournement de finalité ?
La finalité du traitement n’a plus de secret pour vous ?
Bravo ! Vous devez maintenant vérifier que votre traitement respecte bien le principe de minimisation des données.
Vous ne trouvez pas la réponse à votre question dans cet article ?
