Un principe a priori traditionnel
On peut se demander ce qu’il y a encore à dire sur le principe de finalité qui est, rappelons-le, l’un des principes fondamentaux inscrit depuis l’origine dans la Convention 108 [1] de 1981, puis adopté, avec quelques nuances, dans la directive 95/46 sur la protection des données personnelles.
Il a été introduit à l’article 6, 2° de la loi informatique et libertés [2] qui prévoit d’une part que les données sont « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités » et d’autre part une exception pour « un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique » sous certaines conditions.
Donc quoi de plus classique ?
Il y a pourtant deux enjeux significatifs qui vaillent que les autorités européennes s’emparent de ce sujet.
L’enjeu des nouvelles technologies
Le premier enjeu est cette formidable évolution technologique que nous connaissons et qui permet de jouer avec les données de façon exponentielle.
Les tentations
En effet, la tentation est grande de réutiliser des données pour de nouvelles finalités, rendues possibles grâce à une technologie qui n’existait pas au moment de leur collecte, ou encore de combiner des données de différentes sources (voir nos articles sur les nouvelles conditions de confidentialité de Google [3]). La compétition faisant rage, certains ayant pris du retard d’autres de l’avance, certains subissant des contraintes que d’autres n’ont pas (comme les opérateurs de communication face aux OTTP), il semble nécessaire de préciser les règles. Ce d’autant plus qu’il ne semble pas y avoir de véritable harmonisation sur ce sujet au niveau européen.
La « boite à outils »®
Le groupe de l’article 29 [4] présente donc sa « boite à outils » pour déterminer (i) ce que requière le principe de finalité et (ii) ce qu’est un « traitement compatible avec la finalité initiale ». Un de ces outils parmi d’autres, est la notion d’attente raisonnable de la personne concernée ou « reasonable expectation » (peut-on, par exemple, raisonnablement s’attendre à ce que le fournisseur de prestation d’email puisse utiliser le contenu de nos emails ? L’autorité irlandaise avait conclu que non, comme nous l’avions relevé dans un article précédent [5]).
La condition de légitimité
Le groupe de l’article 29 insiste aussi sur le fait que tout traitement doit avoir une finalité légitime. Ce principe s’applique aussi au « traitement ultérieur ». Un traitement est légitime si d’une part, il respecte les conditions permettant le traitement (consentement de la personne concernée, respect d’une obligation légale, sauvegarde de la vie de la personne concernée…) et si d’autre part, plus généralement il respecte la règlementation. Le Groupe de l’article 29 insiste sur le fait que le « traitement ultérieur » doit satisfaire de « façon cumulative » à la condition de « compatibilité » et de « légitimité », ce qui semble donc limiter la possibilité de traitement ultérieur.
Big Data et Open Data
Le Groupe de l’article 29 brosse aussi un rapide tableau des enjeux lié au phénomène du « Big Data » et de l’« Open data ».
L’enjeu du projet de Règlement
Le Groupe de l’article 29 critique la rédaction proposée dans le cadre du projet sur ces sujets, en considérant qu’elle protège de façon insuffisante les individus.
En conclusion
Si ce document a pour objectif d’harmoniser la position au niveau européen, il ne donne pour autant pas de solutions simples. Tout en fournissant des outils pour l’appréciation au cas par cas des situations, il semble surtout imposer davantage de restrictions.
_________________________
[1] Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel
[2] « [Les données] sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées »
[3] Voir notamment Conclusion de l’enquête de la CNIL et recommandations du G 29 (WP 29) sur le règles de confidentialité de G oogle
[4] Qui regroupe les autorités de protection des données personnelles de chaque pas de l’UE
[5] Recommandations faites à Facebook en matière de protection des données personnelles
Stéphanie Faber est membre de voxFemina – Paroles d’Experts au Féminin