Article 5 du RGPD

Principes

Ce que dit le RGPD :

1.  Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2.  Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

50000000
Autorité française de protection des données (CNIL)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Google Inc.
35258708
Autorité de protection des données de Hambourg
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
H&m Hennes & Mauritz Boutique En Ligne
27800000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Tim (opérateur De Télécommunications)
22046000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
British Airways
16700000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Wind Tre Spa
12251601
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia Spa
10400000
Autorité de protection des données de Niedersachsen
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Notebooksbilliger.de
8500000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Eni Gas E Luce
5000000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Google Llc
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
3000000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Eni Gas E Luce
2900000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Capio St. Göran Ab
2856169
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iren Mercato Spa
2520000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Mercadona Sa
2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
2250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Carrefour France
1750000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Sgam Ag2r La Mondiale
1463000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Aleris Sjukvård Ab
1405000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Ticketmaster Uk Limited
1240000
Autorité de protection des données du Bade-Wurtemberg
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Allgemeine Ortskrankenkasse (`` Aok '') (compagnie D'assurance Maladie)
1168000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Aleris Sjukvård Ab
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Iliad Italia Spa
800000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Carrefour Banque
725000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Organisation Inconnue
600000
Autorité belge de protection des données (APD)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Google Belgium Sa

S'inscrire à la newsletter de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil qui permettent d'améliorer la navigation du site, analyser les statistiques et nous soutenir dans nos efforts marketing. N'hésitez pas à consulter notre Politique de confidentialité pour toute information complémentaire.