RGPD : COMMENT S’ASSURER QU’UNE NOUVELLE FINALITE DU TRAITEMENT EST COMPATIBLE AVEC LA FINALITE INITIALE ?

Dans un arrêt du 20 octobre 2022[1], la Cour de justice de l’Union européenne (CJUE) a notamment dégagé 5 critères permettant de vérifier si la nouvelle finalité d’un traitement est compatible avec la finalité initiale.

Les faits

Un fournisseur de service internet et de télévision en Hongrie a créé une base de données « test » au sein de laquelle étaient copiée une partie des données clients pour faire face à une défaillance technique d’un serveur.  Plus tard, « un pirate éthique » a contacté la société pour l’avertir qu’il avait eu accès à la base de tests qui n’avait pas été effacée.

La société a supprimé la base de données compromise et a notifié la violation de données ( « data breach ») à l’autorité de contrôle.  L’autorité hongroise a prononcé une sanction de près de 250 000 euros[2] à l’encontre du fournisseur internet pour ne pas avoir supprimé la base test.  La Cour de justice de l’Union européenne est saisie d’une question préjudicielle dont l’objet est d’une part, de déterminer si la duplication de la base de données aux fins de test était compatible avec les motifs de la collecte initiale, et d’autre part, d’apprécier comment s’applique le principe de limitation de la conservation s’agissant de la suppression de ladite base de données « test ».

Qu’est-ce qu’une finalité ?

La notion de finalité est un des principes fondateurs de la protection des données personnelles.  Déterminer la finalité d’un traitement c’est répondre à la question : pourquoi sont utilisées ces données ?  À quoi servent-elles ?  La finalité du traitement est l’objectif poursuivi par cette utilisation de données personnelles.

Le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, dans son article 5 paragraphe 1 établit une liste des principes que le traitement de données à caractère personnel doit respecter. Les données doivent être :

• Traitées de manière licite, loyale et transparente au regard de la personne concernée (principe de loyauté et transparence)
• Collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (principe de limitation des finalités)
• Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation)
• Exactes et si nécessaire tenues à jour (principe d’exactitude)
• Conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités (principe de limitation de la conservation)
• Traitées de façon à garantir une sécurité appropriée (intégrité et confidentialité).

Pour plus de détail, la CNIL a publié une fiche sur cette question.

La notion de finalité est donc en pratique cruciale pour le responsable du traitement tant elle influe sur l’application des principes précités.

Pourquoi est-ce important ?

Depuis l’entrée en vigueur du RGPD, le principe d’« accountability » (responsabilisation des acteurs) crée une obligation pour les responsables de traitement de se mettre en conformité aux règles de protection des données. En pratique, ce principe suppose que le responsable de traitement doit être en mesure de démontrer qu’il respecte les règles relatives à la protection des données en mettant en œuvre des mécanismes et des procédures, tels que notamment la tenue d’un registre du traitement, la désignation recommandée d’un DPO, ou la garantie d’un niveau de sécurité suffisant, etc.  Toujours dans cette logique d’« accountability », le registre du traitement doit être tenu à jour et préciser les finalités des traitements mis en œuvre par le responsable du traitement. 

Or, ainsi que le rappelle la Cour de justice dans l’arrêt précité, le principe de limitation des finalités auquel est soumis le responsable de traitement suppose d’une part que les données soient collectées pour des finalités déterminées, explicites et légitimes - lesquelles seront précisées notamment au sein du registre des traitements – et d’autre part, de ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Le responsable du traitement doit donc s’assurer de la cohérence de ces nouvelles finalités avec les finalités initiales.

Comment vérifier la compatibilité entre les nouvelles finalités et les finalités initiales ?

Par un arrêt du 20 octobre 2022, la CJUE dégage 5 critères pour s’assurer de la compatibilité de la nouvelle finalité avec la finalité initiale.  Les critères de vérifications sont les suivants :

• L’existence d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du futur traitement ;
• Le contexte dans lequel les données à caractère personnel ont été collectées ;
• La nature des données à caractère personnel ;
• Les conséquences possibles du futur traitement pour les personnes concernées ;
• L’existence de garanties appropriées à la fois dans le cadre du traitement initial et du futur traitement.

La Cour conclue ainsi que ces critères traduisent la nécessité d’un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données et le traitement ultérieur des données et précise que ces critères « permettent de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des abandonnés quant à l’utilisation ultérieure de leurs données »[3].

Au cas présent, les données ont été initialement collectées aux fins de conclusions et d’exécution des contrats d’abonnement avec les clients particuliers. La base de données de test quant à elle a été créée afin de procéder à des tests et corriger des erreurs[4]. La CJUE en conclue donc que cette dernière finalité a un lien concret avec la finalité initiale en ce que « de telles erreurs sont susceptibles d’être dommageables pour la fourniture du service contractuellement fourni »[5].

Sur la question de la conservation, la Cour de justice rappelle utilement que les principes posés par l’article 5 du RGPD sont d’application cumulative et qu’un traitement illicite est susceptible de devenir par la suite incompatible avec le RGPD si les données ne sont plus nécessaires à la réalisation de la finalité. Dès lors, la Cour indique que responsable de traitement doit également démontrer que la conservation des données est nécessaire à la poursuite de la finalité[6].  Ainsi, la conservation d’une base de données de test ne saurait se justifier au-delà de la période de test et la correction des erreurs pour laquelle elle a été créé.

L’ÉQUIPE IP/IT – DATA

Dans le cadre de son activité de délégué à la protection des données et de son expertise en droit des nouvelles technologies, ALTIJ Avocats assiste les particuliers, entreprises et collectivités en matière de mise en conformité au RGPD, de suivi et conseil dans tous vos projets impliquant des données personnelles et non-personnelles.

DÉCOUVREZ NOTRE CYCLE DE FORMATION :
NUMÉRIQUE DATA

En savoir plus :

L’arrêt de la CJUE : https://www.droit-technologie.org/wp-content/uploads/2022/12/Arret-CJUE.pdf

Les conclusions de l’avocat général : https://www.droit-technologie.org/wp-content/uploads/2022/12/conclusions-AG.pdf

[1] CJUE, 20 octobre 2022, Digi Távközlési és Szolgáltató Kft. Contre Nemzeti Adatvédelmi és Információszabadság Hatóság, C-77/21.

[2] L’amende infligée s’élevait au montant de 100 000 000 forints hongrois (HUF) soit environ 248 000 euros.

[3] Point 36 de l’arrêt de la CJUE.

[4] La CJUE ayant précisé, à toutes fins utiles, que l’enregistrement et la conservation dans une base de données de données à caractère personnel dans une autre base constituait bien un « traitement ultérieur » de ces données.

[5] Point 44.

[6] La Cour considère par ailleurs, sans surprise, que l’argument du fournisseur selon lequel les données n’ont pas été effacées par « inadvertance » est dénué d’intérêt dans l’appréciation du respect du principe de limitation de la conservation.