[data] RGPD-GDPR —> spécial « finalité » des traitements (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 8 juillet 2017] L’intérêt de la remise à plat par la GDPR de la règlementation sur la protection des données [personnelles] est de nous obliger à remettre le nez dans certaines notions essentielles qui régissent l’ensemble des traitements de données. Tel est le cas de la notion de finalité. Sur les 6 conditions de licéité d’un traitement, 3 font directement référence à la notion de finalité. Petit résumé après la présentation accessible dans le slider ?


Le rôle essentiel de la notion de finalité

Que le traitement soit juridiquement fondé sur une demande de consentement ou sur une des 5 autres modalités prévues et autorisées par la GDPR, la finalité est la raison d’être du traitement. C’est la raison pour laquelle l’entreprise collecte des données. Ce pour quoi elle va utiliser les données, à son profit (collecte directe) et/ou au profit de tiers auxquels elle pourrait vendre / céder / louer / mettre à disposition ces données (collecte indirecte).

Il ne viendrait aujourd’hui à l’esprit de personne de contester le droit pour une entreprise d’informatiser le traitement des données de ses salariés. Et dans notre univers numérique, comment résister à la tentation de traiter les données clients/prospects pour faire du marketing ? La meilleure façon de résister à la tentation est d’y céder nous rappelle le proverbe… L’important avec la GDPR est de ne pas céder de manière anarchique à cette tentation…

Les principes  : « minimisation » et « transparence »

Ce principe de minimisation impose que soient collectées seulement les données nécessaires à l’objet du traitement. Pas plus. Le principe de transparence sur la finalité ? Il s’agit simplement de s’assurer que la personne dont les données sont collectées soit informée. Là, c’est vraiment pas compliqué.

Dans le cas des traitements avec consentement, le non-respect de ce principe de minimisation pourrait permettre de contester la validité du consentement donné par la personne concernée. Pour tous les autres traitements, le non-respect de la finalité rend de facto le traitement illicite. 

Dans les deux cas, la sanction du traitement devenu illicite est au format « 20 millions €uros / 4% du CA mondial« . Je crains d’avoir le sentiment de vous lasser avec ces rappels incessants des sanctions à dispositions des autorités de contrôle. Vous préféreriez ne pas savoir ? 

Finalité et durée de conservation des données

En la matière, il va falloir être pragmatique. Car il n’y a juste RIEN de concret dans la GDPR. C’est pratique…

Je doute que la CNIL admette qu’il soit nécessaire à une entreprise de faire du profilage pendant plus de 12 mois sur un prospect qui n’a au final aucune relation contractuelle avec le responsable du traitement. Il va falloir faire montre de bon sens, à défaut de disposer de référentiel incontestable.

Pour ce qui est de la durée en lien avec la finalité, il va falloir plonger dans les « considérant » de la GDPR… heuuuuuuu, du pragmatisme, c’est ça ?

L’information de la personne sur les finalités du traitement

Il est clairement prévu dans la GDPR que la finalité du traitement doit faire l’objet d’une information précise au profit de la personne dont les données sont collectées. De manière directe ou indirecte. Au moment de la première communication avec la personne concernée… Pour celles et ceux qui veulent creuser ce point, c’est sur ce lien qu’il faut cliquer.

Les finalités nouvelles

Un traitement de données n’est jamais figé. Pour qui s’intéresse à la notion de base de données électronique (de fichier clients/prospects pour rendre cette notion parlante aux NON juristes), la finalité est l’usage qu’entend faire l’entreprise des données dont elle dispose. Et personne ne sera surpris que le marketing permette aujourd’hui ou demain de faire un usage initialement non prévu des données collectées et mises à jour par les « users ».

Le principe est le suivant : les données « ne pas être traitées ultérieurement d’une manière incompatible » avec les finalités dont les personnes ont été initialement informées. D’une « manière incompatible« … Voilà qui devrait laisser une marge de manœuvre aux professionnels, non ? Il y a quelques pistes fortement suggérées par la GDPR sur ce point. Hé oui, il aurait été trop simple de pouvoir collecter des données, pour en faire un usage non révélé aux personnes concernées. D’ou une obligation d’information spécifique pour les traitements fondé sur « autre chose » que le consentement. On pensera ici tout particulièrement aux traitements « nécessaires aux fins des intérêts légitimes » de l’entreprise.

Rappelons enfin que la GDPR prévoit un régime d’information obligatoire en cas de nouvelle finalité qui n’est pas le même selon que les données aient été collectées directement ou indirectement auprès des personnes concernées… Pourquoi faire simple quand on peut faire compliqué, je vous le demande ?

Certification et codes de conduite

Votre entreprise/organisme devra être conforme à la GDPR dès le 25 mai 2018. Il s’agit bien d’une obligation, non négociable. Cette preuve de la mise en conformité au regard des obligations de la GDPR incombe directement à l »entreprise, qu’elle dispose ou non d’un Data Protection Officer. Et cette preuve peut passer par un process de certification et d’audit régulier par un tier certificateurs, un auditeur « agréé CNIL ».

Attendrez-vous que votre entreprise adhère à un code de conduite sectoriel ? Pour l’instant, il existe bien quelques projets par ci, par là… Vous pourriez aussi préférer être un des participants à la création de l’un de ces codes. La présomption de bonne foi que vous pourriez rechercher en cas de contrôle CNIL sera alors plus facile à établir.

De toutes les façons, il faut vous y faire, vous allez devoir investir dans votre organisation GDPR. Pour le dire autrement, ça va vous couter des sous en conseil externe… Personnellement, j’ai un faible pour le coté « pro-actif » de mes clients les plus courageux. Et, d’expérience, la politique de l’autruche (comme le crime) paie rarement. Vous pouvez espérer passer entre les gouttes de l’orage, mais la foudre qui va tomber sera retentissante, vous pouvez compter sur la CNIL pour cela.

Si dans votre audit de mise en conformité de vos traitements de données, vous identifiez plusieurs finalités d’importance différente, il pourrait vous être utile de prévoir une collecte de consentement pour certaines des finalités identifiées et une autre « base juridique » pour d’autres finalités ? Certes, cela sera plus lourd, votre « taux de perte » va augmenter… votre base de données va fondre… Rassurez-vous, vous ne serez pas les seuls (cet argument sera-t-il suffisant pour vous réconforter ?). Oui, certains de vos concurrents ne feront pas cet effort (alors, pourquoi le faire vous-même, n’est-ce pas ?). Pitié, arrêtez de me servir cet argument. A vous d’assumer votre décision de mise en danger au regard de cette loi dont je sais qu’elle est lourde, contraignante, pas facile à manipuler, etc. Mais vous pourriez trouver un intérêt à ce qu’un internaute exerce son droit de retrait / d’opposition pour une seule des multiples finalités dont vous l’avez informé. Sinon ? On prend deux secondes pour réfléchir et s’organiser ? 

tic tac tic tac… il vous reste un peu moins de 11 mois… Il n’est donc pas trop tard…