Pour envisager sereinement la mise en conformité d’un traitement de données personnelles avec le Règlement européen relatif à la protection des données (RGPD), il faut connaître les grands principes prévus par le texte. Ils sont au nombre de six et prévus par l’article 5 du RGPD. Le responsable de traitement doit toujours les avoir à l’esprit pour ne pas entrer en contradiction avec le Règlement européen.
Pour toute interrogation que vous pourriez avoir concernant le RGPD : contactez-nous à cette adresse et nous nous efforcerons d’y répondre à travers nos publications.
Le traitement doit être licite, loyal et transparent
Le premier principe est un triptyque dont les composantes sont indissociables les unes des autres : licéité, loyauté et transparence. Cela implique que le responsable de traitement doit baser le traitement de données personnelles sur l’une des bases légales prévues par l’article 6 du RGPD.
Cela signifie également que l’information fournie à l’individu dont les données personnelles sont traitées est dénuée de tout oubli (volontaire ou involontaire). Une confiance réciproque doit pouvoir s’installer entre le responsable de traitement et les producteurs de données personnelles.
Le traitement doit avoir une finalité déterminée
Le second principe est la finalité du traitement. Le responsable du traitement doit annoncer en amont à quelles fins il collecte les données personnelles. Ces finalités doivent être explicites et légitimes : l’individu doit comprendre pourquoi ses données sont collectées.
De plus, un traitement incompatible avec les finalités fixées ne peut pas être réalisé ultérieurement au recueil de ces données.
Les données recueillies doivent être en adéquation avec les finalités du traitement
Les données personnelles doivent être adéquates, pertinentes et limitées à l’objectif fixé par le responsable du traitement. On parle alors de minimisation des données. C’est-à-dire que les données dont le recueil est prévu doivent avoir une utilité dans le cadre des finalités du traitement. En effet, on imagine mal un formulaire d’inscription sur un site lambda demander de saisir son lieu de naissance, sa situation familiale ou encore son sexe.
Tout dépend de la finalité affichée et de l’information délivrée à l’individu.
Les données personnelles doivent être exactes
Le principe d’exactitude des données personnelles, tel que prévu par le RGPD, est important. Le responsable du traitement doit veiller à ce que le traitement effectué soit réalisé avec des données exactes et tenues à jour si cela est nécessaire. Dans ce cas, tout doit être mis en oeuvre pour permettre cette mise à jour et effacer ou rectifier les données personnelles qui seraient obsolètes.
La conservation des données personnelles doit être limitée
Le RGPD est très strict s’agissant de la manière dont sont conservées les données personnelles. La conservation des données sous une forme permettant l’identification des individus doit correspondre à la finalité du traitement. A partir du moment où cette finalité est dépassée, les données peuvent encore être conservées mais pas sous la même forme afin de limiter les risques d’atteinte à la vie privée.
Il est important de noter que les finalités d’archive dans l’intérêt public, de recherche scientifique ou historique, ou de statistiques, permettent de conserver des données personnelles plus longtemps sous une forme identifiante.
Le traitement des données personnelles doit être sécurisé
Le dernier grand principe prévu par le RGPD est la garantie de sécurité appropriée conférée au traitement de données personnelles. Cette sécurité inclut la protection contre le traitement non autorisé ou illicite ainsi que la perte, la destruction ou les dégâts d’origine accidentelle.
Cela signifie que la confidentialité et l’intégrité des données doivent être garanties par le responsable du traitement. Un contrôle doit donc être mis en place aussi bien au niveau de la sécurité des accès que de la sécurité du matériel de stockage physique. Des systèmes de sauvegarde et de récupération devraient être mis en place par le responsable du traitement pour palier à tout dommage qui pourrait avoir lieu sur les données.
