RGPD: attention à l'utilisation des données pour d'autres finalités !

Soyez vigilants ! Les données personnelles de vos clients, fournisseurs, membres du personnel, etc. enregistrées par votre entreprise ne peuvent être utilisées à n’importe quelle fin. Le Règlement général sur la protection des données (RGPD) prévoit en effet que les données que vous collectez doivent être traitées pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement de manière incompatible avec les finalités initiales.


Nathalie Ragheno, CENTRE DE COMPÉTENCE DROIT & ENTREPRISE Arie Van Hoe, CENTRE DE COMPÉTENCE DROIT & ENTREPRISE
22 septembre 2021

La finalité, c’est ce à quoi votre fichier va servir. Il vous appartient de définir cette finalité : la gestion de la clientèle, le recrutement du personnel, la comptabilité… Elle devra être respectée tout au long de l'utilisation de votre fichier. Par ailleurs, la finalité permet de déterminer la pertinence des données personnelles que vous recueillez.

Cette obligation est loin d’être un simple « principe » et bon nombre d’entreprises ont déjà été sanctionnées pour ne pas avoir respecté assez scrupuleusement cette disposition essentielle du RGPD.

Responsabilité de l’entreprise

En avril dernier, une PME a été condamnée à une amende de 100.000 EUR pour consultation illicite de données personnelles sensibles et leur utilisation à d’autres fins que celles pour lesquelles elles avaient été collectées. En l’espèce, la secrétaire de cette PME a consulté le registre des prêts de la Banque nationale à des fins privées afin de savoir le niveau d’endettement de l’ex-mari d’une de ses amies. Pour ce faire, elle avait utilisé le mot de passe de l’entreprise. Contrairement à toute attente, ce n’est pas la secrétaire qui a été condamnée mais bien la société, au motif de ne pas avoir mis en place un processus empêchant ce type de consultation privée.


Dans cette affaire, la Chambre contentieuse de l’Autorité de protection des données (APD) a considéré que les pratiques en cause violaient le principe de finalité consacré par le RGPD.

Il est essentiel de rappeler que le traitement ultérieur de données à caractère personnel pour d’autres finalités que celles pour lesquelles elles ont été collectées n’est autorisé que si ce traitement ultérieur est compatible avec les finalités initiales. Il faut donc tenir compte du lien entre les finalités initiales et ultérieures, du cadre dans lequel les données ont été collectées, des conséquences possibles du traitement ultérieur envisagé pour la personne concernée et de l’existence de garanties appropriées.

Un exemple vaut mieux qu'un long discours

En pratique, dans certains cas donc, une réutilisation des données pour d’autres finalités que celles initialement  prévues est possible. Prenons l’exemple d’une banque qui a un contrat avec un client pour lui fournir un compte bancaire et un prêt personnel. À la fin de la première année, la banque utilise les données à caractère personnel du client pour vérifier s’il est éligible à un meilleur type de prêt et à un plan d’épargne. Elle en informe le client. La banque peut à nouveau traiter les données du client car les nouvelles finalités sont compatibles avec les finalités initiales. Par contre, si la même banque souhaite partager les données du client avec des compagnies d’assurance, en s’appuyant sur le même contrat relatif à un compte bancaire et à un prêt personnel, ce traitement n’est pas permis sans le consentement explicite du client. En effet, la nouvelle finalité n’est pas compatible avec la finalité initiale pour laquelle les données ont été traitées.

La décision de la Chambre contentieuse d’avril dernier est également importante en ce qu’elle souligne que chaque responsable de traitement doit s’assurer que les consultations des données de l’entreprise ne peuvent se faire qu’à des fins professionnelles. Il est dès lors important de mettre en place, au sein de l’entreprise, une procédure qui garantit que seules les personnes habilitées peuvent consulter/utiliser les données et uniquement pour les finalités pour lesquelles elles ont été collectées. Des mesures de sécurité techniques mais également organisationnelles sont donc indispensables.

Toujours pas totalement convaincus des risques liés aux infractions au RGPD ? Un chiffre pour vous convaincre : en 2020, les infractions au RGPD ont rapporté 793.000 EUR d’amende sur le seul territoire belge.

Nos partenaires

Domaines d'action

Un environnement entrepreneurial optimal est essentiel à une économie saine et à une croissance durable. La FEB entend contribuer à la création et au maintien d'un tel environnement, notamment en suivant attentivement tous les dossiers qui touchent de près la vie des entreprises. Voici, regroupés sous 18 thèmes, les dossiers sur lesquels elle concentre ses réflexions et initiatives.


Newsletters FEB

Inscrivez-vous et recevez chaque semaine, dans votre boîte mail, les derniers articles parus.