Toute collecte de données personnelles doit répondre à « des finalités déterminées, explicites et légitimes ». – Article 5, 1°, b) du Règlement général sur la protection des données

Ce principe s’inscrit dans une approche globale de proportionnalité, qui impose une analyse rigoureuse des autres conditions de licéité du traitement, notamment :

• la minimisation des données collectées,
• la limitation de la durée de conservation,
• l’exactitude des données.

– Article 6, 1°, c), d) et e) du Règlement général sur la protection des données

La finalité doit être définie avec précision et rigueur. Pour cela, il convient :

1. d’identifier l’activité qui motive le traitement
2. d’analyser la nécessité du traitement en fonction des objectifs poursuivis
3. de documenter cette analyse, afin de garantir la conformité et la traçabilité. – G29, Avis n° 03/2013, On purpose limitation, 2 avril 2013, WP 203, p. 15

Par ailleurs, tout au long du traitement, une vérification régulière doit être menée pour s’assurer que la finalité est respectée et est toujours justifiée. – Comité européen de la protection des données (CEPD), Lignes directrices 4/2019 du 20 octobre 2020 relatives à l’article 25, Protection des données dès la conception et protection des données par défaut, point 3.4, p. 24

Les finalités générales ou indéterminées sont interdites par le RGPD. Par exemple, une collecte de données en vue de "recherches futures" ne constitue pas une finalité suffisamment précise.

De même, le responsable du traitement doit distinguer finalité principale et finalités secondaires. Une approche détaillée, par catégories et sous-catégories de finalités, permet d’assurer une meilleure conformité et de choisir la base juridique la plus appropriée pour chaque finalité.

Les finalités doivent être expressément formulées et exprimées de manière claire et non ambiguë. – Arrêt de la Cour de justice de l’Union européenne du 20 octobre 2022, aff. C-77/21, point 27

Cela implique plusieurs obligations pour le responsable du traitement :

• Informer les personnes concernées sur les finalités dès la collecte. – Articles 13 et 14 du Règlement général sur la protection des données 
• Garantir l’accès aux finalités via le droit d’accès aux données. – Article 15 du Règlement général sur la protection des données
• Documenter ces finalités et les inscrire dans le registre des traitements. – Article 30, §1, b) du Règlement général sur la protection des données

Enfin, une explicitation claire des finalités permet aux personnes concernées d’anticiper l’utilisation qui sera faite de leurs données, assurant ainsi une meilleure prévisibilité du traitement.

Une finalité est légitime si elle répond à plusieurs conditions cumulatives :

1. La nécessité du traitement : il doit être démontré qu’aucun autre moyen raisonnable ne permet d’atteindre le même objectif. – Considérant 39 du Règlement général sur la protection des données
2. La conformité avec les textes applicables : la finalité doit s’appuyer sur une base juridique appropriée. – Cour de justice de l’Union européenne du 24 février 2022, aff. C-175/20, point 66
3. L’absence d’interdiction spécifique : certaines finalités sont expressément prohibées. Exemples : analyse des caractéristiques génétiques d’une personne en dehors des fins médicales ou de recherche scientifique. – Article 16-10 du Code de la santé publique ; interdiction de traiter les données du SNDS à des fins de promotion de médicaments et de produits de santé ou pour à des fins de calcul des cotisations ou garanties d'assurance. - Article L. 1461-1 du Code de la santé publique
4. La prise en compte des attentes des personnes concernées, afin d’assurer que l’utilisation de leurs données reste conforme à ce qu’elles peuvent raisonnablement prévoir.

Les traitements de données à caractère personnel réalisés à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou encore à des fins statistiques, sont soumis à l’ensemble des règles du Règlement général sur la protection des données (RGPD).

Le RGPD rappelle en effet que « pour faciliter la recherche scientifique, les données à caractère personnel peuvent être traitées à des fins de recherche scientifique sous réserve de conditions et de garanties appropriées prévues dans le droit de l’Union ou le droit des États membres ». – Considérant 157 du Règlement général sur la protection des données

En ce sens, les traitements doivent garantir la protection des droits et libertés de la personne concernée et des mesures de protection doivent être prises pour garantir que les droits des individus sont respectés :

• pseudonymisation ou anonymisation des données lorsque c’est possible. – Article 89, 1° du Règlement général sur la protection des données
• respect du principe de minimisation : seules les données strictement nécessaires doivent être utilisées. – Article 89, 1° du Règlement général sur la protection des données
• traitement des données sensibles autorisé uniquement si une loi européenne ou nationale le prévoit et avec des mesures de protection spécifiques. – Article 9, 2°, j) du Règlement général sur la protection des données

Ces finalités font cependant l'objet de dispositions spécifiques qui permettent de s'exonérer d'un certain nombre d'obligations. 

Tout d'abord, sur l'exigence de détermination du traitement, le Considérant 33 du RGPD admet qu’une certaine indétermination des finalités puisse exister pour les traitements réalisés dans le cadre d’un programme de recherche : « Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet ».

Ensuite, les textes contiennent un certain nombre de dérogations qui concernent principalement les droits de la personne concernée (droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement et à la notification de la limitation, la rectification ou l’effacement des données, droit à la portabilité des données, droit d’opposition), dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités, c'est-à-dire de la recherche scientifique. - Article 14, 5°, b) du Règlement sur la protection des données

La possibilité de déroger à certains principes est prévue par l'article 89, 2° et 3° du RGPD qui distingue selon que les données personnes sont traitées à des fins :

• scientifiques, historiques ou statistiques, même si elles avaient été collectées à l’origine pour un autre usage ;
• à des fins archivistiques dans l'intérêt public.

L'article 78 de la Loi informatique et libertés prévoit que lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d'archives à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, il peut être, après décret pris en conseil d'État, dérogé aux droits prévus la loi à :

• l'article 15 relatif au droit d'accès de la personnes concernée
• l'article 16 relatif au droit de rectification et d'effacement
• l'article 18 relatif au principe de limitation du traitement
• l'article 19 relatif à l'obligation de notification pour la rectification ou l'effacement des données
• l'article 20 relatif au droit à la portabilité des données
• l'article 21 relatif au droit d'opposition

Toutefois, ces dérogations ne peuvent être appliquées que si ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités.

Afin de faciliter les recherches scientifiques qui nécessitent d’apparier des des données entre elles, l’utilisation de l’identifiant unique qu’est le numéro d’inscription au répertoire national d’identification (NIR) a été facilitée par la Loi pour une République numérique de 2016 qui a consacré une dérogation au principe selon lequel l’utilisation du NIR ne peut être autorisée que par décret pris en Conseil d’État. Cette dérogation figure désormais à l'article 30, alinéa 2, 1° et 2° de la Loi informatique et libertés.

La loi prévoit que cette dérogation n'est applicable que si le numéro d'inscription au répertoire national d'identification des personnes physiques fait préalablement l'objet d'une opération cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une fréquence définie par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. Ainsi, Les appariements effectués doivent ensuite être réalisés à partir d’une clé d’appariement non signifiante (CSNS) obtenue grâce à une opération cryptographique réalisée sur le NIR. La clé associée à l’opération doit être spécifique à chaque projet de recherche. - Article 30, alinéa 3 de la Loi informatique et libertés

La notion « d’expression universitaire » n’est pas définie par les textes. Elle peut être assez large et couvrir un certain nombre d’hypothèses allant de la publication des résultats scientifiques à la diffusion des données elles-mêmes, en passant par les différentes formes d’expression orale.

Lors du traitement de données à caractère personnel à des fins d’expression universitaire, artistique ou littéraire, l'article 85 du RGPD exonère du respect d'un certain nombre de règles afin de concilier le droit à la protection des données personnelles et la liberté d’expression universitaire, artistique ou littéraire. 

L'article renvoie sur ce point aux législations nationales. 

En France, l'article 80 de la Loi informatique et libertés exonère de l'application de nombreuses dispositions de la loi : 

• article 4, 5° relatif à la durée de conservation
• article 6 relatif aux données sensibles
• article 46 relatif aux données relatives aux condamnations pénales
• article 48 au droit à l'information de la personne concernée
• article 49 relatif au droit d'accès de la personne concernée
• article 53 relatif au droit à la limitation du traitement
• article 118 et 119 relatifs au droit d'accès, de rectification et d'effacement
• dispositions du Chapitre V du RGPD relatif au transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Ces dérogations s'appliquent également pour l'exercice à titre professionnel de l'activité de journaliste dans les respect des règles déontologiques de la profession. - Article 80, 2° de la Loi informatique et libertés

Pour répondre à une alerte sanitaire, les principes généraux relatifs aux traitements de données personnelles peuvent être écartés exclusivement en cas de situation d’urgence et afin d’en gérer les suites. – Article 67 de la Loi informatique et libertés ; Considérants 52 et 53 du règlement général sur la protection des données. 

Ces traitements peuvent être mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la Santé et de la Sécurité sociale, pris après avis de la CNIL. 

L’Agence nationale de santé publique (ANSP), placée sous la tutelle du ministre chargé de la Santé, est l’établissement public chargé, entre autres, de lancer les alertes sanitaires. – Article L. 1413-1 du Code de la santé publique

Les traitements de données de santé qui ont pour finalité la gestion d’une alerte sanitaire ne sont pas soumis au système d’autorisation préalable ou de méthodologie de référence. – Article 67 de la Loi informatique et libertés

Dans l’hypothèse d’alerte sanitaire, le numéro d’inscription au répertoire national d'identification des personnes physiques (NIR) peut être utilisé s’il constitue le seul moyen de collecter des données de santé nécessaires pour faire face à l’urgence sanitaire. Celui-ci est collecté auprès des personnes concernées elles-mêmes ou des personnes morales habilitées à traiter ce numéro dans le cadre de leurs missions ou activités. - Article 86 du Décret n° 2019-536, 29 mai 2019, pris pour l’application de la loi pour une république numérique