Peut-on utiliser les données à d’autres fins?

Réponse

Oui, mais uniquement dans certains cas. Si votre entreprise/organisation a collecté des données sur la base d’un intérêt légitime, d’un contrat ou d’intérêts vitaux, celles-ci peuvent être utilisées pour une autre finalité mais uniquement après avoir vérifié que la nouvelle finalité est compatible avec la finalité initiale.

Une attention devrait être accordée aux points suivants:

• le lien entre la finalité initiale et la finalité nouvelle ou à venir;
• le contexte dans lequel les données ont été collectées (Quelle est la relation entre votre entreprise/organisation et la personne concernée?);
• le type et la nature des données (Sont-elles sensibles?);
• les éventuelles conséquences du traitement ultérieur envisagé (Quel impact aura-t-il sur la personne concernée?);
•  l’existence de garanties appropriées (telles que le chiffrement ou la pseudonymisation).

Si votre entreprise/organisation souhaite utiliser les données à des fins statistiques ou de recherche scientifique, il n'est pas nécessaire de procéder à un test de compatibilité.

Si votre entreprise/organisation a collecté des données sur la base du consentement ou en se conformant à une exigence légale, aucun traitement ultérieur dépassant le cadre des domaines couverts par le consentement initial ou la disposition du droit n’est possible. Le traitement ultérieur nécessiterait d’obtenir un nouveau consentement ou une nouvelle base juridique.

Exemples

Un traitement ultérieur est possible

Une banque a un contrat avec un client pour lui fournir un compte bancaire et un prêt personnel. À la fin de la première année, la banque utilise les données à caractère personnel du client pour vérifier s’il est éligible à un meilleur type de prêt et à un plan d’épargne. Elle en informe le client. La banque peut à nouveau traiter les données du client car les nouvelles finalités sont compatibles avec les finalités initiales.

Un traitement ultérieur n’est pas possible

La même banque souhaite partager les données du client avec des compagnies d’assurance, en s’appuyant sur le même contrat relatif à un compte bancaire et à un prêt personnel. Ce traitement n’est pas permis sans le consentement explicite du client étant donné que la finalité n’est pas compatible avec la finalité initiale pour laquelle les données ont été traitées.

Références

• Articles 5(1)(b), 6(4), 89(1); Considérants 39, 50
• Groupe de travail «Article 29». Avis 03/2013 sur la limitation des finalités, 2 avril 2013 (WP 203)

Further processing is possible

A bank has a contract with a client to provide the client with a bank account and a personal loan. At the end of the first year the bank uses the client’s personal data to check whether they are eligible for a better type of loan and a savings scheme. It informs the client. The bank can process the data of the client again as the new purposes are compatible with the initial purposes.

Further processing isn’t possible

The same bank wants to share the client’s data with insurance firms, based on the same contract for a bank account and personal loan. That processing isn’t permitted without the explicit consent of the client as the purpose isn’t compatible with the original purpose for which the data was processed.

• Article 5(1)(b) and Articles 6(4) and 89(1) and Recitals (39) and (50) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)