Finalités
Documentez les finalités de votre traitement et la base légale associée
Dernière mise à jour
Documentez les finalités de votre traitement et la base légale associée
Dernière mise à jour
Une finalité constitue l’objectif poursuivi par la mise en place de votre fichier. Elle indique à quoi le traitement de données personnelles va servir, sa raison d’être. Cet objectif doit être clair et compréhensible.
La définition de la finalité est fondamentale car elle est un prérequis pour les autres éléments encadrant le traitement tels que la durée de conservation des données, l’adéquation, la pertinence, la proportionnalité des données ainsi que l’exactitude et de la mise à jour des données.
L’article 5 1. b) du RGPD prévoit que la finalité doit être déterminée, explicite et légitime.
La finalité doit être déterminée : la finalité doit être définie de manière suffisamment précise pour adapter les garanties nécessaires de protection des données et afin de délimiter le périmètre du traitement des données. Le niveau de détails nécessaire dépend du contexte particulier de la collecte des données et des données concernées. Parfois, un langage simple sera suffisant. Par exemple, un commerce familial de proximité ne nécessitera pas le même niveau de détail pour décrire la finalité du fichier des clients que pour une multinationale utilisant des algorithmes complexes permettant des offres personnalisées et de la publicité ciblée. La finalité doit être déterminée avant la mise en œuvre du traitement.
La finalité doit être explicite : la finalité ne pas être ambiguë et doit être exprimée clairement.
La finalité doit être légitime : la légitimité renvoie à la base légale fondant le traitement de données exigée par l’article 6 du RGPD.
Cette notion demande également la finalité ne contrevienne pas à la loi d’une manière générale. Par exemple, la finalité ne sera pas légitime si elle conduit à une discrimination interdite par le code pénal. On peut prendre en compte le droit du travail, le droit de la consommation ou le droit des contrats notamment.
De plus, il est nécessaire de prendre en compte le contexte du traitement pour évaluer la légitimité et, en particulier, les attentes raisonnables de la personne concernée par le traitement.
Une activité de traitement peut avoir plusieurs finalités. Par exemple, l’activité « recrutement » pourra avoir deux finalités distinctes : l’analyse des candidatures et la gestion des entretiens ainsi que la constitution d’une CV-thèque.
Pour chaque finalité, vous devez définir la base légale applicable. Il ne peut y avoir qu’une seule base légale par finalité. Le choix de cette base légale est à effectuer selon le contexte du traitement.
L'ajout des finalités est réalisé à la section 3 du traitement.
L'intitulé de la finalité est limité à 120 caractères.
Vous pouvez ajouter plusieurs finalités à votre traitement.
Il y a 6 bases légales possibles pour un traitement de données.
Le consentement doit répondre à quatre critères pour le traitement soit licite : il doit être
libre,
spécifique,
éclairé et
univoque.
Il doit être aussi simple à donner qu’à retirer. Vous devez documenter la preuve que le consentement est valablement recueilli. Pour cela, vous pouvez ajouter la description du processus de recueil du consentement en pièce jointe au traitement (étape 11).
La base légale du contrat doit répondre à trois critères pour être valide : il doit
exister une relation contractuelle ou précontractuelle entre le responsable du traitement et la personne concernée ;
le contrat doit être valide au regard du droit applicable et
le traitement doit être objectivement nécessaire à l’exécution du contrat.
Le droit d'opposition ne peut pas s’exercer sur ce traitement fondé sur cette base légale et le droit à la portabilité des données peut quant à lui s’exercer sur ce traitement. Vous pouvez ajouter le contrat sur lequel vous fondez le traitement dans les pièces jointes à l’étape 11.
L’obligation légale doit
être impérative,
suffisamment claire et précise pour fonder valablement un traitement.
Les textes créant cette obligation doivent au moins définir la finalité de ce traitement.
L'obligation doit s'imposer au responsable du traitement et non aux personnes concernées. Vous devrez détailler le texte qui impose le traitement (par exemple, un article de loi).
La sauvegarde des intérêts vitaux est limitée aux situations qui menacent la vie de la personne concernée ou d'une autre personne physique. L'application la plus évidente est la situation où une personne est victime d'un accident et, étant gravement blessée, elle est admise dans un hôpital alors qu'elle est inconsciente et qu'elle n'est pas en état de donner son consentement pour le traitement de ses données en vue de son traitement. Cette base doit être interprétée de manière stricte et utilisée seulement si le consentement ne peut pas être recherché.
L'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. Le recours à cette base légale se justifie en particulier pour les traitements mis en œuvre par les autorités publiques aux fins d’exécuter leurs missions.
Deux conditions sont nécessaires :
le traitement doit permettre d’exercer, de manière pertinente et appropriée, la mission dont est investie l’autorité publique et ne doit pas viser un autre objectif, sans rapport particulier ou trop éloigné des spécificités de la mission d’intérêt public en cause.
L'intérêt public doit être défini dans le droit et ne peut pas être présumé.
Vous devrez détailler la missions d'intérêt public qui impose le traitement.
Les intérêts légitimes du responsable du traitement ou d'un tiers.
Cette base légale ne pas peut être invoquée par les organismes publics dans le cadre de leur mission et doit répondre à 3 conditions :
l'intérêt poursuivi doit être légitime, c'est à dire, licite (légal), clair et précis et réel (non fictif) ;
le traitement doit être nécessaire pour atteindre l'objectif et donc que c'est le moyen le moins intrusif ;
et enfin, le traitement ne doit pas outrepasser les droits et libertés des personnes concernées, compte tenu de leurs attentes raisonnables.
Une mise en balance doit être effectuée par exemple avec un test de proportionnalité.
Vous pouvez conserver les résultats de ce test en document à l'étape 11. Vous devrez également détailler les intérêts légitimes invoqués (par exemple, la sécurité du réseau informatique ou la lutte contre la fraude).
Dans chaque finalité, vous pouvez ajouter une base légale parmi les 6 fondements ci-dessus.
Une fois la base sélectionnée, vous pouvez apporter une description. Par exemple, pour préciser les intérêts légitimes ou la disposition légale.