Finalité : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

La finalité désigne, au sens du RGPD, l'objectif déterminé pour lequel des données à caractère personnel sont collectées et traitées.

La finalité désigne, au sens du RGPD, l'objectif déterminé pour lequel des données à caractère personnel sont collectées et traitées. Elle constitue, avec la base légale, l'élément central de qualification d'un traitement et structure l'application de l'ensemble des autres principes du règlement (minimisation, durées de conservation, transparence, droits des personnes).

L'article 5 paragraphe 1 b) du Règlement (UE) 2016/679 érige le principe de limitation des finalités en pilier du règlement. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Cette limitation conditionne la légitimité du traitement et oriente l'ensemble des choix opérationnels du responsable.

L'enjeu pratique de la finalité est triple. La qualification précise de la finalité conditionne l'applicabilité des autres principes (minimisation, durées de conservation, base légale). L'identification claire des finalités conditionne l'effectivité de l'information dispensée aux personnes concernées (articles 13 et 14 du RGPD). La cohérence entre finalités déclarées et traitements effectifs constitue le premier point de contrôle de la CNIL.

Vous souhaitez sécuriser la qualification des finalités de vos traitements ? Le Cabinet Aurore Bonavia accompagne les organisations dans la cartographie et la documentation de leurs finalités RGPD. → Voir l'accompagnement en droit du numérique

Le principe de limitation des finalités

L'article 5 paragraphe 1 b) du RGPD pose le principe :

« Les données à caractère personnel doivent être : collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. »

Trois exigences cumulatives caractérisent la qualification des finalités :

  • les finalités doivent être déterminées, c'est-à-dire formulées avec une précision suffisante pour que les personnes concernées comprennent l'usage qui sera fait de leurs données ; les formulations vagues telles que « amélioration de nos services » ou « marketing » ne suffisent pas ;
  • les finalités doivent être explicites, c'est-à-dire communiquées aux personnes concernées dès la collecte au titre de l'obligation d'information ; une finalité non communiquée ne peut pas être invoquée pour justifier le traitement ;
  • les finalités doivent être légitimes, c'est-à-dire conformes aux principes généraux du RGPD et à l'ordre public ; un traitement poursuivant une finalité contraire aux droits fondamentaux ou aux exigences déontologiques d'un secteur encourt l'illicéité.

L'EDPB a précisé dans ses Lignes directrices 03/2013 (reprises et confirmées sous le RGPD) que la qualification de la finalité doit être suffisamment précise pour permettre à la personne concernée de comprendre les conséquences du traitement, sans pour autant entrer dans le détail technique des opérations effectuées. La formulation de la finalité doit ainsi équilibrer la précision juridique et l'intelligibilité pour les non-spécialistes.

La compatibilité du traitement ultérieur

Le RGPD n'impose pas une rigidité absolue : un traitement ultérieur peut être effectué pour une finalité compatible avec la finalité initiale, sans nécessiter une nouvelle base légale. L'article 6 paragraphe 4 du RGPD énumère les critères d'appréciation de cette compatibilité :

  • l'existence d'un lien entre les finalités initiales et la finalité ultérieure ;
  • le contexte de la collecte des données et la relation entre les personnes concernées et le responsable de traitement ;
  • la nature des données, en particulier le caractère sensible (catégories particulières au sens de l'article 9) ou la nature criminelle (article 10) ;
  • les conséquences possibles du traitement ultérieur pour les personnes concernées ;
  • l'existence de garanties appropriées (chiffrement, pseudonymisation, restriction d'accès) susceptibles de réduire les risques.

Le test de compatibilité se distingue de la simple présomption de licéité. Il impose une analyse documentée, réalisée préalablement au traitement ultérieur et tenant compte des spécificités du cas d'espèce. Une finalité ultérieure jugée incompatible avec la finalité initiale impose au responsable de traitement de :

  • reposer le traitement sur une base légale autonome (consentement de la personne concernée, obligation légale, autre fondement adéquat) ;
  • informer la personne concernée de la nouvelle finalité et de la base légale qui la supporte ;
  • respecter les droits de la personne concernée concernant ce nouveau traitement.

L'article 6 paragraphe 4 du RGPD précise par ailleurs que les traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont, conformément à l'article 89 paragraphe 1, présumés compatibles avec les finalités initiales, sous réserve des garanties appropriées prévues par cet article.

La granularité des finalités et la cartographie

La pratique RGPD impose une cartographie détaillée des finalités poursuivies par chaque organisation. La granularité dépend de la complexité des activités, mais doit permettre une qualification précise au regard des principes du règlement.

Pour une entreprise de e-commerce typique, la cartographie pourra distinguer :

  • la gestion des comptes clients (création, authentification, mise à jour des informations) ;
  • la gestion des commandes (prise de commande, paiement, livraison, facturation, suivi) ;
  • la gestion du service après-vente (réclamations, retours, garanties, support technique) ;
  • la prospection commerciale sur des clients existants pour des produits similaires (intérêts légitimes) ;
  • la prospection commerciale sur des prospects ou pour des produits non similaires (consentement) ;
  • la mesure d'audience et l'amélioration de l'expérience utilisateur (analytique web, tests A/B) ;
  • la lutte contre la fraude et la sécurité informatique (détection des comportements suspects, blocage IP) ;
  • la gestion des obligations légales (conservation comptable, lutte anti-blanchiment, déclarations fiscales) ;
  • la gestion des contentieux (constitution de preuves, défense en justice).

Chacune de ces finalités appelle une qualification autonome (base légale, durée de conservation, destinataires, mesures de sécurité). Le responsable de traitement qui regrouperait ces finalités sous une catégorie unique de « gestion commerciale » verrait son dispositif fragilisé en cas de contrôle, par défaut de précision.

L'articulation finalité - base légale - minimisation

La finalité constitue le pivot autour duquel s'articulent les autres principes RGPD. Sa qualification rigoureuse conditionne l'application cohérente :

  • de la base légale : pour chaque finalité, le responsable doit choisir une base légale parmi les six prévues à l'article 6 paragraphe 1 du RGPD ; un même traitement peut combiner plusieurs finalités, chacune reposant sur une base légale propre ;
  • de la minimisation des données (article 5 paragraphe 1 c) : seules les données strictement nécessaires à la finalité poursuivie peuvent être collectées et traitées ; toute collecte de donnée non nécessaire à la finalité expose à un risque de qualification de traitement disproportionné ;
  • de la durée de conservation (article 5 paragraphe 1 e) : les données ne peuvent être conservées au-delà de la durée nécessaire à la finalité poursuivie ; au-delà, elles doivent être anonymisées, archivées ou supprimées selon les règles applicables ;
  • de la transparence (article 5 paragraphe 1 a) : la finalité doit être communiquée à la personne concernée au titre de l'obligation d'information ; une finalité dissimulée est inopposable.

Cette articulation impose une approche par finalité dans la documentation RGPD. Le registre des activités de traitement, les analyses d'impact, les politiques de confidentialité et les contrats de sous-traitance se structurent finalité par finalité, ce qui permet une analyse cohérente et une défense efficace en cas de contrôle.

Spécificité juridique sur le changement de finalité et l'opposition

L'article 13 paragraphe 3 et l'article 14 paragraphe 4 du RGPD imposent au responsable de traitement, en cas de changement de finalité, de fournir à la personne concernée des informations sur la nouvelle finalité avant ce traitement ultérieur. Cette obligation s'ajoute aux conditions d'analyse de compatibilité prévues à l'article 6 paragraphe 4.

L'information préalable doit être effective et précise. Elle peut prendre la forme d'un courrier, d'un email, d'une notification dans l'application ou d'une mise à jour de la politique de confidentialité, à condition que la personne concernée puisse en avoir une connaissance effective. Une simple modification silencieuse de la politique de confidentialité ne satisfait pas aux exigences du règlement.

L'article 21 du RGPD ouvre à la personne concernée un droit d'opposition au traitement fondé sur la mission d'intérêt public ou les intérêts légitimes du responsable. L'exercice de ce droit peut conduire à l'arrêt du traitement pour la personne concernée, sauf si le responsable démontre l'existence de motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne, ou pour la constatation, l'exercice ou la défense de droits en justice.

Pour les traitements à des fins de prospection commerciale, l'article 21 paragraphe 2 du RGPD ouvre un droit d'opposition sans condition : la personne concernée peut s'opposer à tout moment, sans avoir à justifier sa situation particulière, et le responsable de traitement doit cesser immédiatement le traitement à cette fin. Cette protection renforcée pour la prospection commerciale impose la mise en place de mécanismes opérationnels d'exclusion des bases marketing.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de finalité

  • la cartographie détaillée des finalités poursuivies par votre organisation ;
  • la qualification juridique de chaque finalité au regard des principes du RGPD ;
  • la rédaction du registre des activités de traitement structuré par finalités ;
  • l'analyse de compatibilité préalable aux traitements ultérieurs envisagés ;
  • la rédaction des mentions d'information conformes aux articles 13 et 14 du RGPD ;
  • la révision des politiques de confidentialité pour cohérence avec les finalités effectives ;
  • la défense face aux contrôles CNIL portant sur la précision des finalités déclarées ;
  • la mise en place des mécanismes opérationnels de gestion du droit d'opposition (article 21 du RGPD) ;
  • la formation des équipes à la qualification des finalités lors de la conception de nouveaux traitements.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 5.1.b, art. 6, art. 13, art. 14, art. 21, art. 89, EDPB Lignes directrices 03/2013 sur la limitation des finalités, CNIL guide pratique sur la cartographie des traitements, jurisprudence CJUE 11 décembre 2019 (Asociaţia de Proprietari C-708/18) sur la finalité légitime. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.