Le principe de finalité

L’essentiel : le responsable du traitement doit associer à tout traitement de données personnelles une finalité spécifique et la respecter pendant tout le traitement sous peine de lourdes sanctions pénales (5 ans d’emprisonnement et 300.000 euros d’amende).

 

Précédent : Le principe de loyauté

 

Les finalités de la collecte de données personnelles

1. – Le second principe posé par la loi tient à ce que les données personnelles doivent être « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». La loi impose ici en réalité deux obligations : d’une part, réaliser une collecte pour des finalités déterminées, explicites et légitimes, ce qui contraint le responsable du traitement à établir de manière précise la finalité pour laquelle un traitement va être réalisé. On peut comprendre également cette règle a contrario, celle-ci sanctionnant alors des finalités vagues, ou inexistantes, inscrites lors des formalités préalables (telle que « collecte pour exploitation », « collecte pour conservation », « récupération de données pour tout usage », etc.). D’autre part, la loi impose également de ne pas détourner le traitement des finalités initiales. Une exception est toutefois prévue pour les traitements réalisés à des fins statistiques, historiques ou scientifiques à condition qu’un tel traitement soit réalisé dans le respect des autres dispositions légales et qu’il ne soit pas utilisé pour prendre des décisions à l’égard des personnes concernées (art. 6, 2°).

2. – Cette obligation fait également l’objet de sanctions pénales ! L’article 226-21 c. pen. sanctionne en effet, « le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité [initiale], est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ». Rappelons que la sanction est de 1.500.000 euros d’amende lorsque l’auteur de l’infraction est une personne morale.

Le détournement de finalité est sanctionné pénalement.

Ainsi par exemple a été jugé que constitue le délit de détournement de finalité, l’envoi par une Caisse d’Epargne de publicités dans la même enveloppe que celle utilisée pour adresser des relevés de comptes, alors que le traitement avait été déclaré en conformité à une norme simplifiée qui n’avait pas prévu ce type d’envois (TGI Rennes, 8 déc. 1988). De même, ont été condamnés pour détournement de finalité une dizaine d’employés d’EDF-GDF pour la vente frauduleuse à un assureur de fichiers d’abonnés, le tribunal estimant que les employés « dans l’exercice de leurs fonctions étaient appelés à manipuler (…) les informations recensées par EDF auprès de ses clients (…) afin d’effectuer les opérations matérielles requises par les abonnés. Ces informations recueillies avec cette finalité de gestion des contrats d’abonnés, ont été détournées par les agents de leur objet, par leur transmission, en connaissance de cause, au cabinet X, ce qui caractérise le délit visé » (TGI Paris 16 déc. 1994). La décision de la Cour d’appel de Versailles du 3 mars 2003 offre enfin une autre illustration intéressante. Celle-ci condamnait deux autres employés du service de gestion d’EDF qui avaient, à la demande de leur avocat, produit dans un procès prud’hommal des extraits du compte cotisations retraite d’un employé, obtenus par le service gérant le service spécial de retraite des électriciens. Le tribunal sanctionnait ici le recours à ce document, considérant que « les besoins de la défense d’EDF devant les prud’hommes ne peuvent pas excuser le fait d’avoir commis sciemment ce détournement de finalité ».

3. – La finalité déclarée initialement lors des formalités préalables revêt donc une importance capitale, puisque c’est elle qui déterminera pendant toute la vie du traitement, l’existence ou non d’un détournement de finalité. Il est donc nécessaire dès le départ de prévoir l’ensemble des besoins susceptibles de naître, et de réexaminer le traitement régulièrement pour s’assurer qu’il est bien conforme aux finalités initiales (sauf à passer par la procédure spécifique prévue à l’article 36 de la loi).

Lire la suite : Le principe de proportionnalité

Le plan de l'article :

- Les principes essentiels
- Le principe de loyauté
- Le principe de finalité
- Le principe de proportionnalité
- L'exactitude des données
- Le principe de temporalité
- Le consentement au traitement

Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)