RGPD: attention à l'utilisation des données pour d'autres finalités !

Soyez vigilants ! Les données personnelles de vos clients, fournisseurs, membres du personnel, etc. enregistrées par votre entreprise ne peuvent être utilisées à n’importe quelle fin. Le Règlement général sur la protection des données (RGPD) prévoit en effet que les données que vous collectez doivent être traitées pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement de manière incompatible avec les finalités initiales.


Nathalie Ragheno, COMPETENCE CENTRE LAW & BUSINESS Arie Van Hoe, COMPETENCE CENTRE LAW & BUSINESS
22 September 2021

La finalité, c’est ce à quoi votre fichier va servir. Il vous appartient de définir cette finalité : la gestion de la clientèle, le recrutement du personnel, la comptabilité… Elle devra être respectée tout au long de l'utilisation de votre fichier. Par ailleurs, la finalité permet de déterminer la pertinence des données personnelles que vous recueillez.

Cette obligation est loin d’être un simple « principe » et bon nombre d’entreprises ont déjà été sanctionnées pour ne pas avoir respecté assez scrupuleusement cette disposition essentielle du RGPD.

Responsabilité de l’entreprise

En avril dernier, une PME a été condamnée à une amende de 100.000 EUR pour consultation illicite de données personnelles sensibles et leur utilisation à d’autres fins que celles pour lesquelles elles avaient été collectées. En l’espèce, la secrétaire de cette PME a consulté le registre des prêts de la Banque nationale à des fins privées afin de savoir le niveau d’endettement de l’ex-mari d’une de ses amies. Pour ce faire, elle avait utilisé le mot de passe de l’entreprise. Contrairement à toute attente, ce n’est pas la secrétaire qui a été condamnée mais bien la société, au motif de ne pas avoir mis en place un processus empêchant ce type de consultation privée.


Dans cette affaire, la Chambre contentieuse de l’Autorité de protection des données (APD) a considéré que les pratiques en cause violaient le principe de finalité consacré par le RGPD.

Il est essentiel de rappeler que le traitement ultérieur de données à caractère personnel pour d’autres finalités que celles pour lesquelles elles ont été collectées n’est autorisé que si ce traitement ultérieur est compatible avec les finalités initiales. Il faut donc tenir compte du lien entre les finalités initiales et ultérieures, du cadre dans lequel les données ont été collectées, des conséquences possibles du traitement ultérieur envisagé pour la personne concernée et de l’existence de garanties appropriées.

Un exemple vaut mieux qu'un long discours

En pratique, dans certains cas donc, une réutilisation des données pour d’autres finalités que celles initialement  prévues est possible. Prenons l’exemple d’une banque qui a un contrat avec un client pour lui fournir un compte bancaire et un prêt personnel. À la fin de la première année, la banque utilise les données à caractère personnel du client pour vérifier s’il est éligible à un meilleur type de prêt et à un plan d’épargne. Elle en informe le client. La banque peut à nouveau traiter les données du client car les nouvelles finalités sont compatibles avec les finalités initiales. Par contre, si la même banque souhaite partager les données du client avec des compagnies d’assurance, en s’appuyant sur le même contrat relatif à un compte bancaire et à un prêt personnel, ce traitement n’est pas permis sans le consentement explicite du client. En effet, la nouvelle finalité n’est pas compatible avec la finalité initiale pour laquelle les données ont été traitées.

La décision de la Chambre contentieuse d’avril dernier est également importante en ce qu’elle souligne que chaque responsable de traitement doit s’assurer que les consultations des données de l’entreprise ne peuvent se faire qu’à des fins professionnelles. Il est dès lors important de mettre en place, au sein de l’entreprise, une procédure qui garantit que seules les personnes habilitées peuvent consulter/utiliser les données et uniquement pour les finalités pour lesquelles elles ont été collectées. Des mesures de sécurité techniques mais également organisationnelles sont donc indispensables.

Toujours pas totalement convaincus des risques liés aux infractions au RGPD ? Un chiffre pour vous convaincre : en 2020, les infractions au RGPD ont rapporté 793.000 EUR d’amende sur le seul territoire belge.

Our partners

Business Issues

An optimum business environment is vital for a sound economy and sustainable growth. FEB aims to help create and maintain such an environment by, among other things, closely monitoring all issues of direct relevance to businesses. Here, grouped into 17 themes, are the issues on which FEB focuses most of its attention and action.


newsletters and press releases

Subscribe now and receive every week the latest articles directly in your mailbox