Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 18 mai 2026
Accueil/RGPD/Principe de finalité RGPD : article 5(1)(b), exemples et san...
RGPD

Principe de finalité RGPD : article 5(1)(b), exemples et sanctions

Principe de finalité RGPD (art. 5(1)(b)) : obligations, détournement de finalité, sanctions pénales art. 226-21 et jurisprudence. Guide pratique 2026.

Par Thiébaut DevergrannePublie le 7 novembre 2011Mis a jour le 12 mai 20265 min de lecture
Sommaire
  1. Le principe de finalité dans le RGPD
  2. Exceptions limitées : traitements ultérieurs compatibles
  3. Le risque pénal : article 226-21 du Code pénal
  4. Sanctions CNIL : la finalité comme point de contrôle systématique
  5. Conséquences pratiques pour le DPO

L’essentiel. Toute collecte de données personnelles doit être associée à une finalité déterminée, explicite et légitime. Détourner les données de leur finalité initiale est un délit pénal (article 226-21 du Code pénal : 5 ans d’emprisonnement et 300 000 € d’amende, 1,5 M€ pour les personnes morales), en plus des sanctions administratives RGPD.

Le principe de finalité dans le RGPD

Le principe de finalité — deuxième des principes fondamentaux du RGPD — est posé par l’article 5(1)(b) du règlement :

“[Les données] sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités.”

Cette disposition impose en réalité deux obligations distinctes au responsable du traitement :

  1. Déterminer la finalité de manière précise au moment de la collecte. Cette obligation contraint à formuler clairement pour quoi le traitement est réalisé.
  2. Ne pas détourner les données des finalités initialement déclarées une fois la collecte effectuée.

Comprises a contrario, ces règles sanctionnent les finalités vagues ou inexistantes inscrites dans la documentation interne (le registre RGPD, les mentions d’information aux personnes) : “collecte pour exploitation”, “données récupérées pour tout usage”, “amélioration du service” — autant de formulations qui méconnaissent l’exigence de précision et qui sont systématiquement relevées par la CNIL en cas de contrôle.

Exceptions limitées : traitements ultérieurs compatibles

L’article 6(4) du RGPD prévoit la possibilité de traiter les données pour une finalité ultérieure compatible avec la finalité initiale. Le considérant 50 précise l’appréciation : il faut tenir compte du lien entre les finalités, du contexte de la collecte, de la nature des données, des conséquences pour les personnes, et de l’existence de garanties.

Une exception explicite est par ailleurs prévue pour les traitements ultérieurs à des fins archivistiques d’intérêt public, de recherche scientifique ou historique, ou à des fins statistiques (Art. 5(1)(b) in fine et Art. 89). Ces traitements ne sont pas considérés comme incompatibles, à condition de respecter les garanties prévues par le règlement (pseudonymisation, mesures techniques, cantonnement des usages).

Le risque pénal : article 226-21 du Code pénal

Cette obligation fait l’objet de sanctions pénales spécifiques. L’article 226-21 du Code pénal sanctionne :

“Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.”

Pour les personnes morales, l’amende est portée à 1 500 000 €.

Jurisprudence emblématique

La jurisprudence sur le détournement de finalité est ancienne mais reste pertinente :

  • TGI Rennes, 8 décembre 1988 : envoi par une Caisse d’Épargne de publicités dans la même enveloppe que celle utilisée pour adresser des relevés de comptes, alors que le traitement avait été déclaré en conformité à une norme simplifiée qui n’avait pas prévu ce type d’envois. Détournement caractérisé.
  • TGI Paris, 16 décembre 1994 : condamnation pour détournement de finalité d’employés d’EDF-GDF qui avaient vendu frauduleusement à un assureur des fichiers d’abonnés. Le tribunal estimait que les employés, dans l’exercice de leurs fonctions, manipulaient les informations recensées par EDF auprès de ses clients pour effectuer les opérations matérielles requises par les abonnés. Ces informations, recueillies avec une finalité de gestion des contrats, ont été détournées par leur transmission au cabinet de l’assureur.
  • Cour d’appel de Versailles, 3 mars 2003 : condamnation d’employés du service de gestion d’EDF qui avaient produit, à la demande de leur avocat, des extraits du compte cotisations retraite d’un employé dans un procès prud’homal. Le tribunal sanctionnait le détournement, considérant que “les besoins de la défense d’EDF devant les prud’hommes ne peuvent pas excuser le fait d’avoir commis sciemment ce détournement de finalité”.

Ces décisions illustrent un principe constant : la finalité initiale enferme le traitement. Toute utilisation au-delà de cette finalité — fût-elle utile, fût-elle pour la défense de droits — constitue une infraction.

Sanctions CNIL : la finalité comme point de contrôle systématique

Sous le RGPD, le manquement au principe de finalité relève du plafond haut de l’article 83(5)(a) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Les sanctions CNIL des cinq dernières années montrent un contrôle constant de :

  • La formulation des finalités dans les mentions d’information aux personnes (Art. 13 et 14)
  • La cohérence entre les finalités déclarées au registre RGPD et l’usage effectif des données
  • L’absence de bundle (un consentement pour plusieurs finalités hétérogènes)
  • L’usage de données collectées pour la facturation à des fins de prospection commerciale sans nouvelle base légale

Conséquences pratiques pour le DPO

Le principe de finalité est l’un des plus structurants du RGPD pour le quotidien du DPO :

  1. Toute nouvelle finalité = nouvelle base juridique à valider. Réutiliser des données ne va jamais de soi.
  2. La finalité doit être documentée dans le registre des traitements avec un niveau de précision suffisant pour permettre le contrôle.
  3. Les mentions d’information aux personnes (Art. 13 et 14) doivent refléter fidèlement les finalités enregistrées dans le registre. Toute incohérence est un manquement caractérisé.
  4. La pratique de la “data réutilisation” (analytics secondaires, profilage, enrichissement de bases) doit être systématiquement évaluée à l’aune du test de compatibilité de l’Art. 6(4).
  5. Réviser régulièrement les finalités déclarées pour s’assurer qu’elles restent pertinentes et exhaustives — un nouvel usage non documenté reste un manquement même s’il est intuitif.

Le principe de finalité s’articule avec les autres principes essentiels du RGPD : proportionnalité, exactitude, temporalité. Tous se combinent pour définir un traitement licite et conforme. Pour industrialiser la documentation des finalités et leur révision périodique, un logiciel RGPD intègre ces obligations dans le cycle de vie du traitement.

Articles lies

RGPD

Article 85 RGPD : liberté d'expression et journalisme

18 mai 2026 · 22 min
RGPD

Article 87 RGPD : l'encadrement du NIR décrypté

17 mai 2026 · 18 min
RGPD

Article 89 RGPD : recherche, archivage et statistique

17 mai 2026 · 18 min