Réponse

Oui, mais uniquement dans certains cas. Si votre entreprise/organisation a collecté des données sur la base d’un intérêt légitime, d’un contrat ou d’intérêts vitaux, celles-ci peuvent être utilisées pour une autre finalité mais uniquement après avoir vérifié que la nouvelle finalité est compatible avec la finalité initiale.

Une attention devrait être accordée aux points suivants:

  • le lien entre la finalité initiale et la finalité nouvelle ou à venir;
  • le contexte dans lequel les données ont été collectées (Quelle est la relation entre votre entreprise/organisation et la personne concernée?);
  • le type et la nature des données (Sont-elles sensibles?);
  • les éventuelles conséquences du traitement ultérieur envisagé (Quel impact aura-t-il sur la personne concernée?);
  •  l’existence de garanties appropriées (telles que le chiffrement ou la pseudonymisation).

Si votre entreprise/organisation souhaite utiliser les données à des fins statistiques ou de recherche scientifique, il n'est pas nécessaire de procéder à un test de compatibilité.

Si votre entreprise/organisation a collecté des données sur la base du consentement ou en se conformant à une exigence légale, aucun traitement ultérieur dépassant le cadre des domaines couverts par le consentement initial ou la disposition du droit n’est possible. Le traitement ultérieur nécessiterait d’obtenir un nouveau consentement ou une nouvelle base juridique.

Exemples

Un traitement ultérieur est possible

Une banque a un contrat avec un client pour lui fournir un compte bancaire et un prêt personnel. À la fin de la première année, la banque utilise les données à caractère personnel du client pour vérifier s’il est éligible à un meilleur type de prêt et à un plan d’épargne. Elle en informe le client. La banque peut à nouveau traiter les données du client car les nouvelles finalités sont compatibles avec les finalités initiales.

Un traitement ultérieur n’est pas possible

La même banque souhaite partager les données du client avec des compagnies d’assurance, en s’appuyant sur le même contrat relatif à un compte bancaire et à un prêt personnel. Ce traitement n’est pas permis sans le consentement explicite du client étant donné que la finalité n’est pas compatible avec la finalité initiale pour laquelle les données ont été traitées.

Références