Accueil > Articles RGPD >
Principes relatifs au traitement des données à caractère personnel
Chaque semaine, un point rapide et efficace sur le RGPD.
1. Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).
Le Règlement Général sur la Protection des Données (RGPD) a deux objectifs principaux :
Ces objectifs se traduisent concrètement par un certain nombre d’obligations imposées aux responsables de traitement et les sous-traitants.
💡Pour rappel, un responsable de traitement est la personne qui détermine la finalité et les moyens du traitement. Le sous-traitant est la personne morale qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).
Pour ce faire, l’article 5 RGPD prévoit 7 grands principes qui doivent guider les entreprises et établissements publics dans leur mise en conformité au RGPD et la protection des données personnelles.
Voyons plus en détail ce que ces principes signifient :
Ce tout premier principe se composent de trois sous-principes :
La finalité d’un traitement correspond à l’objectif ou encore la raison pour laquelle l’organisme collecte ou utilise une donnée personnelle. La finalité a pour objet de restreindre l’utilisation des informations ce l’objectif prédéterminée. Si les données sont utilisées à des fins différentes de celles prévues, des sanctions peuvent être encourues.
Précisons également que la détermination de la finalité doit être précise, légale et légitime afin d'avoir un effet limitatif.
Le principe de minimisation des données exige que l'organisme ne collecte que les informations indispensables à son activité. Autrement dit, plus vous limitez la collecte de données, plus vous vous rapprochez de la conformité.
En pratique, ce principe incite les entreprises à se demander si les données qu'elles collectent sont réellement nécessaires à leur activité. Si ce n'est pas le cas, ces données doivent être supprimées, anonymisées ou leur collecte doit être limitée à ce qui est essentiel.
Par exemple, lorsque qu’une personne crée un compte utilisateur, soyez vigilant sur les champs obligatoires que celle-ci doit remplir. Collecter les informations relatives à la date de naissance, le nom du poste ou l’adresse postale de cette personne sont elles nécessaires à votre activité et cohérente avec la finalité ?
Protéger les données personnelles signifie également conserver l’intégrité des informations utilisées et ne pas altérer leurs exactitudes. En effet, le RGPD ne se contente pas d’interdire la collecte de certaines données personnelles ou d’en limiter l’utilisation. Un moyen efficace de protéger les données personnelles et d’assurer qu’elles reflètent un permanence la réalité.
Par conséquent, les organismes doivent prendre des mesures de sécurité pour réduire le risque de fuite de données et leur utilisation par des tiers non autorisés.
Le principe de limitation de la conservation des données signifie que les entreprises ne peuvent pas conserver indéfiniment des données personnelles. Une durée de conservation doit être fixée avant leur collecte.
Pour savoir comment déterminer une durée de conservation, il convient de noter que l’entreprise peut soit renseigner un délai (6 mois, 3 ans etc.) soit faire référence à un élément permettant de déterminer plus tard le moment de la suppression de la donnée. Par exemple, vous pouvez déclarer que les informations personnelles seront supprimées à l’issue d’un contrat ou lors du désabonnement d’un utilisateur à votre newletter.
À l’expiration de ce délai, vous avez la possibilité soit de supprimer effectivement les données personnelles relative à la personne donnée, soit anonymiser ces données. L’anonymisation vous permet de conserver les donnée sans l’attribuer à une personne physique identifiable. Dans ce cas, la donnée n’est plus personnelle, ce n’est qu’une simple donnée qui échappe au champ d’application du RGPD.
La protection des données personnelles conduit naturellement à prévoir des mesures de sécurité adéquates. En effet, les entreprises sont tenus d’assurer la confidentialité des données personnelles et prévenir tout risques de violation de données personnelles (altération, divulgation, fuite, vol ou destruction de données personnelles intentionnel ou accidentel).
Ces mesures de sécurité peuvent être organisationnelles, techniques ou physiques, conformément à l'article 32 du RGPD. L'important est qu'elles soient suffisantes pour réduire tout risque de violation de données.
Le principe d’accountability correspond à l’obligation pour tout organisme de pouvoir démontrer qu’ils protègent effectivement les données personnelles dont ils sont responsables.
Comment démontrer sa conformité ? Il convient de documenter les efforts effectués par votre organisme. De plus, le RGPD impose l’établissement de plusieurs documents formels dont le principal est le registre de traitements de données personnelles.
Le registre de traitements est l’addition de tous les traitements de données personnelles. Il s’agit d’un document déclaratif dans lequel est décrit toutes les collectes et utilisations des données personnelles au titre des activités de responsable de traitements et de sous-traitant.
Ainsi, pour un traitement, l’organisme doit notamment déclarer les personnes concernées par ce traitement, les types de données collectées, les mesures de sécurité mises en œuvre, la base légale, les finalités, la durée de conservation et les personnes ayant accès à ces données.
Au-delà de toute déclaration formelle, l’esprit de ce principe est qu’il est essentiel de documenter ses activités afin de maitriser la gestion de sa data et de pouvoir, en cas de contrôle, démontrer moyens mis en œuvre pour assurer la protection des données personnelles.
