Finalité

Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.

Tant la collecte des données que les finalités du traitement doivent être reconnaissables. Tel est en principe le cas lorsqu’on informe la personne concernée, lorsque ces traitements sont prévus par la loi ou lorsqu’ils ressortent clairement des circonstances. Le caractère déterminé des finalités implique que des buts vagues, non définis ou imprécis ne suffisent pas. Cette qualité s’apprécie selon les circonstances, l’objectif étant de concilier les intérêts des personnes concernées et ceux du responsable du traitement, respectivement du sous-traitant, et de la société (^{FF 2017 6565 (6644)}).

Les données doivent être traitées ultérieurement de manière compatible avec les finalités initiales. Un traitement ultérieur ne sera pas admissible si la personne concernée peut légitimement le considérer comme inattendu, inapproprié ou contestable. Lorsque la modification du but initial est prévue par la loi, requise par un changement législatif ou légitimée par un autre motif justificatif, le traitement ultérieur est aussi considéré comme compatible avec le but initial (^{FF 2017 6565 (6645)}).

Il est nécessaire d'avoir un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données personnelles et le traitement ultérieur de celles-ci, et de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des personnes concernées quant à l’utilisation ultérieure de leurs données (^{arrêt CJUE C-77/21 du 20 octobre 2022}). En d’autres termes, il s’agit d’examiner si un équilibre existe entre, d’une part, l’exigence de prévisibilité et de sécurité juridique quant aux finalités du traitement des données personnelles collectées antérieurement et, d’autre part, la reconnaissance d’une certaine flexibilité en faveur du responsable de traitement dans la gestion de ces données (^{Lisa DUBATH, Enregistrement de numéros de téléphone : usage et finalités, 27 mars 2024 in www.swissprivacy.law/290})

Le respect du principe de la finalité est important pour permettre aux personnes concernées d’exercer effectivement leurs droits, comme celui de s’opposer au traitement. Une finalité reposant sur  l’idée que les données pourraient être utiles à un moment donné dans le futur, n’est pas licite (^{Manuel de droit européen en matière de protection des données, éd. 2018, p. 137}).

Dans le cadre d'une communication, la finalité du traitement des données personnelles prévue par le destinataire doit être la même que celle dont se prévaut l'expéditeur, sauf si la loi permet d'en changer. Plus concrètement, les données de connexion à un serveur par des employés, traitées dans un but de gestion technique des infrastructures, ne peuvent pas être communiquées à un chef de service pour contrôler le comportement de ses collaborateurs, sauf si la loi le prévoit expressément. À ce propos, on peut relever que la police peut récolter des données d'une entité pour un autre but que celui pour lequel elles ont été récoltées initialement, puisque cela est prévu dans la loi sur la police et se limite aux données nécessaires (^{voir art. 91 al. 2 LPol NE; art. 89 Loi sur la police cantonale JU}).

1. Le respect du principe de la finalité conduit à refuser la communication des coordonnées de membres siégeant au sein d'une entité, telle que le Conseil consultatif des Jurassiens domiciliés à l'extérieur (dossier 2017.1811).

2. Les adresses e-mails privées et professionnelles sont des données personnelles non sensibles. Si, selon un mandat de prestation, une association ou une entreprise privée doit en recevoir une liste, les communications doivent répondre aux exigences de l'article 25 CPDT-JUNE et des principes généraux, et plus particulièrement celui de la finalité (art. 18). Les personnes concernées doivent être préalablement conscientes de l'existence de cette communication (dossier 2017.1707).

3. Pour les demandes par l’intermédiaire de Gmail ou autres services similaires, il faut être très prudent. L’article 18 CPDT-JUNE exige le respect de la finalité d’un traitement. Or, lorsque le législateur a permis l’accès aux nom, prénom, adresse et date de naissance, sur demande ponctuelle (art. 25 al. 2 CPDT-JUNE), il n’avait pas à l’esprit que ces informations pourraient également contribuer à alimenter des services de Big Data. Par conséquent, il faut éviter de répondre via Gmail ou de services similaires, même si on ne maîtrise pas l’utilisation qu’en fera par la suite le destinataire (dossier 2016.1355).

4. Selon l’article 24 CPDT-JUNE, une collecte de données et les finalités du traitement doivent être reconnaissables pour la personne concernée. Par conséquent, un SRH voulant investiguer à propos des qualités d'un candidat doit l’en informer préalablement pour respecter cet article et lui rappeler qu’il est en droit de s’opposer à la récolte de données, au sens des articles 34 et 36 CPDT-JUNE. Voir aussi à ce propos l'avis du Préposé fédéral (dossier 2016.1515).