Données personnelles

Limitation des finalités RGPD : Art. 5(1)(b) expliqué

Le principe de limitation des finalités (Art. 5(1)(b) RGPD) interdit la réutilisation des données pour des finalités incompatibles. Jurisprudence et mise en pratique.

TD
Dr. Thiébaut Devergranne
12 avril 20266 min read

Le principe de limitation des finalités est le pilier central de l’architecture du RGPD. L’Art. 5(1)(b) dispose que les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. C’est la première question que doit se poser tout responsable de traitement : « Pourquoi est-ce que je collecte ces données ? » Toute la conformité RGPD découle de cette réponse.

Points Clés

  • L’Art. 5(1)(b) RGPD exige que chaque traitement repose sur une finalité déterminée, explicite et légitime déclarée avant la collecte.
  • Le traitement ultérieur pour une finalité incompatible est interdit, sauf exceptions limitées (archivage d’intérêt public, recherche scientifique, Art. 89(1)).
  • La CNIL a infligé 50 millions d’euros à Google (Délibération n°SAN-2019-001) notamment pour absence de finalité claire dans le traitement des données à des fins publicitaires.
  • Le CEPD recommande un test de compatibilité en cinq critères pour évaluer si une réutilisation est admissible (Art. 6(4) RGPD).
  • La limitation des finalités conditionne toutes les autres obligations : durée de conservation, minimisation, droits des personnes.

Ce que l’Art. 5(1)(b) RGPD impose

L’article 5(1)(b) du RGPD est formulé ainsi :

« Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. »

Trois exigences cumulatives encadrent chaque traitement :

Finalité déterminée : la finalité doit être précise et non vague. « Améliorer nos services » n’est pas une finalité déterminée. « Personnaliser les recommandations de contenu sur la base de l’historique de navigation » l’est. La CNIL a sanctionné cette imprécision à de nombreuses reprises, notamment dans la Délibération n°SAN-2019-001 contre Google (50 millions d’euros).

Finalité explicite : la finalité doit être communiquée aux personnes concernées de manière claire avant la collecte, conformément aux obligations d’information des Art. 13 et 14 RGPD. Les mentions d’information doivent détailler chaque finalité de manière compréhensible.

Finalité légitime : la finalité ne doit pas être contraire à la loi ni aux principes fondamentaux du droit. Un traitement visant à discriminer des candidats sur des critères ethniques ne saurait être considéré comme légitime, même s’il est explicitement déclaré.

Le test de compatibilité : Art. 6(4) RGPD

Le RGPD ne prohibe pas tout traitement ultérieur. L’Art. 6(4) prévoit un test de compatibilité qui permet au responsable de traitement d’évaluer si une nouvelle finalité est compatible avec la finalité initiale. Ce test repose sur cinq critères :

  1. Le lien entre la finalité initiale et la finalité ultérieure envisagée.
  2. Le contexte dans lequel les données ont été collectées, notamment la relation entre le responsable de traitement et la personne concernée.
  3. La nature des données concernées, en particulier si elles incluent des catégories sensibles (Art. 9 RGPD).
  4. Les conséquences possibles du traitement ultérieur pour les personnes concernées.
  5. L’existence de garanties appropriées, telles que le chiffrement ou la pseudonymisation.

Le CEPD (Comité européen de la protection des données) a publié des lignes directrices détaillées sur l’application de ce test, en insistant sur le fait qu’il doit être documenté et mené avant tout traitement ultérieur.

Jurisprudence et sanctions

CNIL, Délibération n°SAN-2019-001, 21 janvier 2019 : Google LLC — 50 millions d’euros

La CNIL a infligé à Google une amende record de 50 millions d’euros pour manquements à plusieurs principes, dont la limitation des finalités. La CNIL a constaté que les finalités de traitement des données à des fins de personnalisation publicitaire étaient « disséminées dans plusieurs documents », rendant impossible pour l’utilisateur de comprendre les finalités réelles du traitement. L’absence de transparence sur les finalités a été qualifiée de violation de l’Art. 5(1)(b) combiné à l’Art. 13 RGPD.

CJUE, Fashion ID (C-40/17), 29 juillet 2019

Dans cette affaire, la CJUE a jugé qu’un site web intégrant un plug-in social (bouton « J’aime » de Facebook) était co-responsable de traitement avec Facebook pour la collecte de données effectuée par le plug-in. La Cour a précisé que la finalité du traitement devait être clairement identifiée par chaque co-responsable et que l’utilisation de données collectées pour une finalité (affichage du bouton) ne pouvait être étendue à une autre (profilage publicitaire) sans base légale distincte.

CNIL, Délibération n°SAN-2023-024, 27 décembre 2023 : Amazon France Logistique — 32 millions d’euros

Amazon France Logistique a été sanctionnée de 32 millions d’euros pour avoir mis en place un système de surveillance des salariés via des scanners de gestion de colis. La CNIL a relevé que les données collectées pour la gestion logistique étaient réutilisées pour l’évaluation de la performance individuelle des salariés, ce qui constituait un détournement de finalité au sens de l’Art. 5(1)(b) RGPD.

CJUE, Planet49 (C-673/17), 1er octobre 2019

La CJUE a invalidé les cases pré-cochées comme mécanisme de consentement et a confirmé que la finalité de chaque traitement — et notamment la distinction entre cookies fonctionnels et cookies publicitaires — devait être clairement présentée à l’utilisateur pour que son consentement soit valide.

Mise en pratique : documenter et contrôler les finalités

Inscrire les finalités dans le registre des traitements

L’Art. 30(1)(b) RGPD impose que le registre des traitements mentionne les finalités de chaque traitement. Cette documentation n’est pas un exercice formel : elle constitue la preuve que le responsable de traitement a défini ses finalités avant la collecte et qu’il respecte le principe de limitation.

Rédiger des mentions d’information précises

Les finalités déclarées dans les mentions d’information doivent correspondre exactement à celles inscrites au registre. Toute incohérence entre le registre et les mentions d’information peut être qualifiée de manquement à l’obligation de transparence (Art. 5(1)(a) RGPD).

Mettre en place un processus de validation

Avant toute réutilisation de données pour une nouvelle finalité, le responsable de traitement doit mener le test de compatibilité de l’Art. 6(4) et le documenter. Si la finalité est jugée incompatible, un nouveau consentement ou une autre base légale distincte est nécessaire.

Auditer régulièrement

Les finalités de traitement peuvent dériver dans le temps, notamment lorsque de nouveaux usages techniques apparaissent. Un audit RGPD régulier permet de détecter les écarts entre les finalités déclarées et les pratiques réelles.

FAQ

Peut-on réutiliser des données collectées pour une autre finalité ?

Oui, mais uniquement si la nouvelle finalité est compatible avec la finalité initiale, après réalisation du test de compatibilité de l’Art. 6(4) RGPD. Les critères incluent le lien entre les finalités, la nature des données, les conséquences pour les personnes et les garanties mises en place. En cas d’incompatibilité, un nouveau consentement ou une base légale distincte est requis.

Que risque une entreprise qui ne précise pas ses finalités de traitement ?

L’absence de finalité déterminée et explicite constitue un manquement à l’Art. 5(1)(b) RGPD, passible d’amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(a)). La CNIL a sanctionné Google de 50 millions d’euros en 2019 notamment pour ce motif.

La recherche scientifique est-elle exclue du principe de limitation des finalités ?

L’Art. 5(1)(b) RGPD prévoit une présomption de compatibilité pour le traitement ultérieur à des fins de recherche scientifique, historique ou statistique, sous réserve du respect des garanties de l’Art. 89(1) RGPD. Cela ne dispense pas de respecter les autres principes du RGPD, notamment la minimisation et la sécurité.

Comment la limitation des finalités interagit-elle avec l’intérêt légitime ?

Lorsque le traitement repose sur l’intérêt légitime (Art. 6(1)(f) RGPD), la finalité doit être définie avec la même précision que pour toute autre base légale. De plus, le test de mise en balance propre à l’intérêt légitime inclut une évaluation de la proportionnalité par rapport à la finalité déclarée. Une finalité vague rend le test de mise en balance impossible à mener correctement.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law

Cookie Consent Under GDPR and ePrivacy: Complete Guide
Data Privacy

Cookie Consent Under GDPR and ePrivacy: Complete Guide