L'encadrement juridique de la prospection directe dans les transactions électroniques.

Paragraphe II : Le choix et le respect d'une finalité et d'une durée légale de la conservation.

A. La finalité de la collecte.

³¹ Article 5 parag.1 du RGPD « Les données à caractère personnel doivent être : c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; ».

24

Octobre 2018

Dans législation sénégalaise sur la PDCP, l'obligation de collecter les données à une finalité précise trouve son siège à l'article 35³² de la loi n°2008-12. En substance, cette disposition déclare que les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pouvant faire l'objet de traitement ultérieur incompatible avec ces finalités initialement déclarées. Ainsi la possibilité de faire de la prospection directe doit avoir été prévue lors de la déclaration auprès de la CDP. A défaut il convient de procéder devant la Commission à une déclaration modificative et de porter à la connaissance des personnes concernées toute utilisation non conforme à la finalité d'origine.

En France, la collecte de données personnelles doit obligatoirement avoir un objectif déterminé et légitime, défini dans la déclaration préalable, et par la suite les données ne pourront être utilisées que dans ce cadre. De plus, tout changement de finalité de traitement doit être sans délai, porté à la connaissance de la CNIL.

Le détournement de finalité peut aussi consister en une communication non autorisée à un tiers. En effet, l'article 226-22 du Code pénal français réprime la divulgation de données personnelles par la personne les ayant recueillies à un tiers qui n'a pas la qualité de les recevoir³³.

Dans le RGPD, le principe de finalité est un fondement crucial. Selon l'article 5 parag.1-b, le traitement des données à caractère personnel ne peut se faire qu'après que des finalités ont été définies explicitement au préalable. En principe, il est interdit de traiter ultérieurement les données obtenues pour une autre finalité qui n'était pas prévue initialement (mais il existe des exceptions³⁴).

Ce principe a aussi des conséquences pour le délai de conservation des données. B. La durée légale de conservation des données

Il ressort des termes de l'article 35 de la loi 2008-12 portant PDCP, sur la durée de la conservation des données à caractère personnel, qu'elles doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées. Au-delà de cette période requise, les données ne peuvent faire l'objet d'une conservation qu'en vue de répondre spécifiquement à un traitement à des fins historiques, statistiques, de recherches en vertu des dispositions légales.

Pour le respect de cette exigence, le législateur français impose la règle selon laquelle les données personnelles ne peuvent être conservées plus longtemps que le temps nécessaire à la réalisation des finalités envisagées. Dés que ces finalités sont accomplies ou disparaissent, le responsable de traitement doit effacer les données. En effet, à défaut d'une

³² Art. 35 al 1 et 2 « Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités.

Elles doivent être adéquates, pertinentes et non excessive au regard des finalités pour lesquelles elles sont collectées ultérieurement. »

³³ Ce texte prévoit une peine d'emprisonnement de cinq (5) ans et de 300000 euros d'amende.

³⁴ Au sens du RGPD trois (3) possibilités se présentent si vous souhaitez traiter des données personnelles pour une finalité qui diverge de celle pour laquelle vous avez initialement traité ces données : il faut soit un consentement distinct, soit une obligation légale, soit pour la comptabilité.

25

Octobre 2018

finalité, la nécessité de conserver et de traiter les données disparaît. Dés lors il doit être défini un délai de conservation maximal pour toutes les données à caractère personnel. Tel est l'esprit de l'article 5 parag.1-e du RGDP qui rajoute cependant que « Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques(...) ».