# La limitation des finalités

Le principe de finalité est le principe phare de la protection des données. La finalité d’un traitement constitue l’objectif poursuivi par le traitement.

Ainsi, les données doivent être collectée pour une finalité :

  • Déterminée : la finalité correspond à un objectif précis
  • Explicite : la finalité est suffisamment claire pour être comprise par la personne concernée
  • Légitime : la finalité poursuivie doit pouvoir être justifiée par le responsable de traitement

Le responsable de traitement ne peut pas recueillir des données dans l’idée de les traiter ultérieurement pour une autre finalité que celle prévue initialement.

Le respect du principe de finalité est primordial afin d’empêcher une situation où la personne concernée ne serait pas informée de traitements réalisés à son sujet. Une telle action constituerait un détournement de finalité qui est sévèrement punie :

  • L’article 226-21 du Code pénal le punit par 300 000€ d’amende et 5 ans d’emprisonnement.
  • L’article 83-5 du RGPD sanctionne par une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Cependant, le RGPD introduit la notion de « finalité compatible » qui permet de faire évoluer la finalité initiale. Trois cas de finalité compatible sont exposés à l’article 5.1 alinéa b :

  • En cas de fins archivistiques dans l'intérêt public,
  • En cas de fins de recherche scientifique ou historique
  • En cas de fins statistiques

Enfin, si le responsable de traitement souhaite modifier la finalité en dehors des trois cas ci-dessus, il a la possibilité de définir une nouvelle finalité en demandant le consentement des personnes concernées ou en se fondant sur une disposition du droit de l’UE ou d’un Etat membre.