L’enregistrement et la conservation de données à caractère personnel, préalablement collectées pour une base de données, dans une autre base de données visant à procéder à des tests et à corriger des erreurs est conforme au règlement (UE) 2016/679 (dit « RGPD ») si ce traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données ont été collectées (20 octobre)
Arrêt Digi, aff. C-77/21
Saisie d’un renvoi préjudiciel par la Fővárosi Törvényszék (Hongrie), la Cour de justice de l’Union européenne rappelle que l’article 5 §1 du RGPD impose au responsable du traitement des données à caractère personnel, le respect de principes relatifs à ces traitements. En 1er lieu, la Cour revient sur le principe de « limitation des finalités » qui exige que les données soient, d’une part, collectées pour des finalités déterminées, explicites et légitimes et, d’autre part, ne soit pas traitées ultérieurement d’une manière incompatible avec ces finalités. S’agissant du second point, elle précise qu’il doit exister un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données et le traitement ultérieur de ces dernières. Dans ces conditions, le traitement ultérieur ne s’écarte pas des attentes légitimes des abonnés quant à l’utilisation de leurs données. En l’espèce, la Cour considère que l’enregistrement et la conservation de données préalablement collectées et conservées dans une autre base de données, dans une base de données créée aux fins de procéder à des tests et corriger des erreurs, n’est pas contraire audit principe, du moment que ce traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données ont été initialement collectées. En 2nd lieu, s’agissant du principe de « limitation de la conservation », les données ne doivent être conservées dans cette base de données que pour la durée nécessaire à la réalisation de ces tests et à la correction de ces erreurs. (LT)