Peut-on réutiliser des données personnelles à d’autres fins ?
La notion de finalité compatible
Le principe de finalité (ou principe de respect du but) impose au responsable du traitement qu’il ne traite des données personnelles que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances. Ce principe est commun au droit suisse actuel (art. 4 al. 3 LPD) et futur (art. 6 al. 3 nLPD), ainsi qu’en droit européen qui parle pour sa part de limitation des finalités (art. 5 par. 1 let. b RGPD). Conformément au caractère déterminé des finalités, lequel s’apprécie selon les circonstances, des buts vagues, non définis ou imprécis ne suffisent pas.
Le principe de finalité est précisé par la notion de « finalité compatible ». Cette notion, désormais explicitement ancrée au sein de la nLPD, prévoit que les données personnelles collectées pour certaines finalités doivent être traitées ultérieurement de manière compatible avec ces finalités (art. 6 al. 3 nLPD et art. 5 par. 1 let. b RGPD). Elle vise autrement dit à définir les limites dans lesquelles les données personnelles collectées pour une finalité donnée peuvent être réutilisées.
Si le droit européen connaissait déjà cette notion préalablement au RGPD, l’ajout du législateur au sein de la nLPD ne constitue cependant pas un changement majeur. Un traitement ultérieur que la personne concernée considère légitimement comme inattendu, inapproprié ou contestable est aujourd’hui déjà inadmissible (à ce propos, cf. Sylvain Métille, Le traitement de données personnelles sous l’angle de la (nouvelle) Loi fédérale sur la protection des données du 25 septembre 2020, p. 10).
L’affaire devant la CJUE
L’entreprise Digi est l’un des principaux fournisseurs de services Internet et de télévision en Hongrie. En raison d’une défaillance technique affectant le bon fonctionnement d’un serveur, elle crée en avril 2018 une base de données test, dans laquelle elle copie les données personnelles d’une partie de ses clients. L’idée est de sécuriser les données au sein d’une base de données additionnelle afin de procéder à des diagnostics de sécurité visant à pallier la défaillance technique.
Un peu plus d’une année plus tard, Digi est contactée par un pirate éthique qui l’informe avoir eu accès aux données personnelles d’environ 322’000 de ses clients par le biais de la base de données test. Prenant acte de cette information, elle corrige la faille, supprime la base de données test et notifie la violation de la sécurité des données à l’autorité hongroise de protection des données conformément à son obligation (art. 33 RGPD).
Une enquête est alors ouverte et s’achève par le prononcé d’une décision condamnant la société Digi à une amende administrative d’environ EUR 270’000.–. L’autorité hongroise de protection des données reproche à Digi, d’une part, d’avoir enfreint la limitation des finalités et la limitation de la conservation (art. 5 par. 1 let. b et e RGPD) et, d’autre part, d’avoir transgressé la sécurité du traitement (art. 32 RGPD).
En lien avec la limitation des finalités et de la conservation, l’autorité hongroise estime que Digi aurait dû supprimer la base de données test aussitôt les tests nécessaires et les problèmes corrigés. Dans le cas présent, l’autorité hongroise estime que les données personnelles ont été conservées près de 18 mois sans aucune finalité, ce que Digi conteste auprès de la juridiction de renvoi, qui saisit la CJUE.
Les conclusions de l’Avocat général
À titre liminaire, nous soulignons qu’à ce jour la CJUE ne s’est pas prononcée sur le fond de l’affaire. Le présent commentaire se limite aux conclusions de l’Avocat général, qui seront, ou non, suivies par la CJUE.
L’Avocat général commence son analyse en mettant en exergue le fait qu’il est admissible, selon le RGPD, que des données personnelles puissent être collectées ou traitées ultérieurement pour plusieurs finalités. Cette approche répond au besoin de pragmatisme et de flexibilité requis par les traitements complexes et peu linéaires de données personnelles à l’ère numérique.
L’Avocat général met ensuite en évidence l’exigence de précision de la finalité auquel est tenu le responsable du traitement, qui constitue une garantie fondamentale en termes de prévisibilité et de sécurité juridique. Malgré cette exigence, l’Avocat général souligne qu’il n’est pas toujours possible d’envisager et de déterminer la nature ainsi que la portée exacte de tous les traitements. Pour celui-ci, une défaillance technique illustre parfaitement cette difficulté.
L’Avocat général poursuit son analyse sur la notion de compatibilité du traitement, qui sous l’angle du RGPD, se distingue selon si le traitement ultérieur est notamment fondé sur le consentement de la personne concernée ou non (ce qui n’est pas le cas en l’espèce) :
- Si le traitement ultérieur repose sur le consentement de la personne concernée, le responsable du traitement peut réutiliser les données indépendamment de la compatibilité des finalités ( 6 par. 4 RGPD a fortiori). Cette dérogation se justifie en raison des informations reçues par la personne concernée quant au traitement, et à la possibilité de s’y opposer (art. 13 et considérant 50 RGPD).
- En l’absence de consentement, le responsable du traitement doit, afin de déterminer si le traitement est compatible, prendre en compte différents critères listés à l’ 6 par. 4 RGPD.
Selon les critères listés par l’art. 6 par. 4 RGPD, l’Avocat général reconnaît qu’il existe un lien entre la finalité du recueil initial des données, soit l’exécution du contrat, et un traitement visant à la sécurisation de ces données dans une base additionnelle interne et à la réalisation de tests, en toute sécurité, destinés à remédier à une défaillance technique. Partant, l’Avocat général est d’avis que ce traitement ultérieur ne s’écarte pas des finalités initiales. Il termine son analyse en démontrant que la limitation de la conservation n’est toutefois pas respectée, du fait que la base de données aurait dû être supprimée aussitôt l’incident technique résolu.
Opinion du Groupe de travail Article 29 sur la finalité des traitements
Remplacé par le Comité européen de la protection des données (CEPD), le groupe de travail Article 29 (G29) a émis en avril 2013 un avis relatif au principe de finalité. Bien que cet avis n’ait pas été approuvé par le CEPD, celui-ci n’en demeure pas moins pertinent. Le G29, en plus de donner des exemples, établit une méthode d’évaluation, en deux étapes, afin de déterminer si un traitement ultérieur de données est compatible avec une finalité initiale de collecte.
La première étape consiste en une évaluation formelle afin de comparer la finalité initialement annoncée par le responsable du traitement dans le cadre de l’information à fournir à la personne concernée et la finalité poursuivie ultérieurement. Le but de cette comparaison est de déterminer si la réutilisation est couverte explicitement ou implicitement par la première finalité.
La deuxième étape vise à aller au-delà de l’information à la personne concernée. Le responsable du traitement doit dans ce cas analyser la finalité ultérieure et la finalité annoncée en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
Bien que pertinente, l’opinion du G29 sur le principe de finalité n’a probablement pas été approuvée par le CEPD uniquement en raison du fait que les critères issus de l’art. 6 par. 4 RGPD se fondent en partie sur les critères définis par le G29. Ces critères peuvent toutefois être mieux compris par le responsable du traitement au vu de l’analyse détaillée menée par le G29, raison pour laquelle il nous semble important que son opinion ne tombe pas dans l’oubli.
Nous signalons en dernier lieu que l’art. 5 par. 1 let. b RGPD prévoit expressément que le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ne doit pas être considéré comme incompatible avec les finalités initiales (cf. swissprivacy.law/132) pour un exemple en lien avec la réutilisation de données publiques à des fins de recherche).
Proposition de citation : Livio di Tria, Peut-on réutiliser des données personnelles à d’autres fins ?, 9 mai 2022 in www.swissprivacy.law/144
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.