La finalité, c’est ce à quoi votre fichier va servir. Il vous appartient de définir cette finalité : la gestion de la clientèle, le recrutement du personnel, la comptabilité… Elle devra être respectée tout au long de l'utilisation de votre fichier. Par ailleurs, la finalité permet de déterminer la pertinence des données personnelles que vous recueillez.

Cette obligation est loin d’être un simple « principe » et bon nombre d’entreprises ont déjà été sanctionnées pour ne pas avoir respecté assez scrupuleusement cette disposition essentielle du RGPD.

Responsabilité de l’entreprise

En avril dernier, une PME a été condamnée à une amende de 100.000 EUR pour consultation illicite de données personnelles sensibles et leur utilisation à d’autres fins que celles pour lesquelles elles avaient été collectées. En l’espèce, la secrétaire de cette PME a consulté le registre des prêts de la Banque nationale à des fins privées afin de savoir le niveau d’endettement de l’ex-mari d’une de ses amies. Pour ce faire, elle avait utilisé le mot de passe de l’entreprise. Contrairement à toute attente, ce n’est pas la secrétaire qui a été condamnée mais bien la société, au motif de ne pas avoir mis en place un processus empêchant ce type de consultation privée.

Dans cette affaire, la Chambre contentieuse de l’Autorité de protection des données (APD) a considéré que les pratiques en cause violaient le principe de finalité consacré par le RGPD.

Il est essentiel de rappeler que le traitement ultérieur de données à caractère personnel pour d’autres finalités que celles pour lesquelles elles ont été collectées n’est autorisé que si ce traitement ultérieur est compatible avec les finalités initiales. Il faut donc tenir compte du lien entre les finalités initiales et ultérieures, du cadre dans lequel les données ont été collectées, des conséquences possibles du traitement ultérieur envisagé pour la personne concernée et de l’existence de garanties appropriées.

Un exemple vaut mieux qu'un long discours

En pratique, dans certains cas donc, une réutilisation des données pour d’autres finalités que celles initialement  prévues est possible. Prenons l’exemple d’une banque qui a un contrat avec un client pour lui fournir un compte bancaire et un prêt personnel. À la fin de la première année, la banque utilise les données à caractère personnel du client pour vérifier s’il est éligible à un meilleur type de prêt et à un plan d’épargne. Elle en informe le client. La banque peut à nouveau traiter les données du client car les nouvelles finalités sont compatibles avec les finalités initiales. Par contre, si la même banque souhaite partager les données du client avec des compagnies d’assurance, en s’appuyant sur le même contrat relatif à un compte bancaire et à un prêt personnel, ce traitement n’est pas permis sans le consentement explicite du client. En effet, la nouvelle finalité n’est pas compatible avec la finalité initiale pour laquelle les données ont été traitées.

La décision de la Chambre contentieuse d’avril dernier est également importante en ce qu’elle souligne que chaque responsable de traitement doit s’assurer que les consultations des données de l’entreprise ne peuvent se faire qu’à des fins professionnelles. Il est dès lors important de mettre en place, au sein de l’entreprise, une procédure qui garantit que seules les personnes habilitées peuvent consulter/utiliser les données et uniquement pour les finalités pour lesquelles elles ont été collectées. Des mesures de sécurité techniques mais également organisationnelles sont donc indispensables.

Toujours pas totalement convaincus des risques liés aux infractions au RGPD ? Un chiffre pour vous convaincre : en 2020, les infractions au RGPD ont rapporté 793.000 EUR d’amende sur le seul territoire belge.