Principes

Finalité du traitement

La finalité est l'objectif précis, explicite et légitime pour lequel une entreprise collecte et traite des données personnelles.

Définition complète

En droit du RGPD, la finalité correspond au « pourquoi » du traitement. Avant même de collecter la moindre donnée, l'entreprise doit définir l'objectif concret qu'elle poursuit. Selon l'article 5(1)(b) du RGPD, les données doivent être collectées pour des « finalités déterminées, explicites et légitimes ». Cela signifie qu'une entreprise ne peut pas collecter des données « au cas où » elles seraient utiles plus tard ; elle doit savoir exactement ce qu'elle veut accomplir. Cette notion est le pilier du principe de limitation des finalités. Une fois l'objectif fixé, les données ne peuvent plus être traitées de manière incompatible avec cet objectif initial. Si vous souhaitez utiliser des données pour une nouvelle finalité, vous devez soit obtenir un nouveau consentement, soit vérifier que cette nouvelle utilisation est compatible avec la première, sous peine de sanctions administratives. Pour un dirigeant de PME, définir la finalité est l'étape cruciale du registre des activités de traitement. C'est elle qui détermine ensuite quelles données sont strictement nécessaires (principe de minimisation) et quelle base légale (consentement, contrat, intérêt légitime, etc.) doit être invoquée pour rendre le traitement licite.

Exemple concret en PME

Une PME de menuiserie collecte l'adresse email et le téléphone d'un prospect via un formulaire de contact pour « l'envoi d'un devis personnalisé ». La finalité est ici la gestion commerciale et l'établissement d'un contrat. Si la PME utilise ensuite cet email pour envoyer une newsletter mensuelle sans accord préalable, elle change de finalité (passage du commercial au marketing), ce qui nécessite une information claire et un consentement distinct du client.

L'erreur fréquente à éviter

L'erreur classique est de rédiger des finalités trop vagues, comme « l'amélioration des services » ou « la gestion interne ». Le régulateur (CNIL) considère ces formulations comme insuffisantes car elles ne permettent pas à la personne concernée de comprendre précisément l'usage de ses données. Une finalité doit être spécifique : préférez « l'analyse statistique du taux de conversion du site web » à « l'optimisation du site ».

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site