Les données personnelles doivent être collectées « pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités » (Règl. UE 2016/679, dit « RGPD », art. 5, §1-b ; principe de « limitation des finalités »).
La Cour de justice de l’Union européenne a précisé qu’un traitement ultérieur peut être considéré comme compatible avec la finalité d’origine, permettant ainsi une réutilisation des données collectées, lorsqu’il existe un lien concret, logique et suffisamment étroit entre la finalité initiale et le traitement ultérieur, et que ce traitement ne s’écarte pas des attentes légitimes des personnes concernées quant à l’utilisation ultérieure de leurs données.
Pour caractériser l’existence d’une telle compatibilité, doivent être pris en compte, notamment :
l’existence d’un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ;
le contexte dans lequel les données ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
la nature des données personnelles ;
les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
l’existence de garanties appropriées dans le cadre à la fois du traitement initial et du traitement ultérieur prévu.
La Cour en déduit que le principe de la « limitation des finalités » ne s’oppose pas à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées dans une autre base de données, lorsqu’un tel traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été initialement collectées.
A noter :
Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD art. 5, §1-e ; principe de la « limitation de la conservation »).
A cet égard, la CJUE indique que le responsable du traitement ne peut pas conserver, dans la base de données créée pour les tests et la correction des erreurs, de données à caractère personnel pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.
Retrouvez toute l'actualité en matière de droit des sociétés, droit commercial et de la concurrence dans Navis Droit des Affaires !
Pas encore abonné ? Nous vous offrons un accès au fonds documentaire Navis Droit des Affaires pendant 10 jours.
