Les grands principes du RGPD

Cet article fait partie du dossier Dossier RGPD

Le RGPD impose que la collecte et le traitement de données personnelles respectent certaines conditions.

Les grands principes du RGPD pour la collecte et le traitement des données personnelles

Une collecte licite

Les conditions permettant de définir que la collecte et le traitement des données sont licites sont listées explicitement à l’article 6 du RGPD. En substance, il s’agit :

  • D’avoir obtenu le consentement de la personne concernée, pour une ou plusieurs finalités.
  • Et que le traitement soit nécessaire pour exécuter un contrat, une mission de service public, respecter une obligation légale, préserver les intérêts vitaux de la personne concernée ou d’un tiers ou bien qu’il soit nécessaire aux fins des intérêts légitimes du responsable du traitement.

Il est nécessaire qu’au moins une des conditions soit remplie pour que le traitement soit licite.

D’autres paragraphes de cet article donnent plus de précisions sur le respect de ces conditions et précise également que les états membres de l’Union Européenne (UE) peuvent mettre en place des disposition plus spécifiques.

Source : article 6 du RGPD – site de la CNIL

Une collecte transparente

La ou les finalités du traitement des données doivent être communiquées clairement à la personne concernée. Il en est de même pour les données qui seront utilisées pour le traitement.

Nous avons tous le droit de savoir à quoi vont servir nos données personnelles. 

Une collecte loyale

Loyal (adj.) : qui obéit aux lois de l’honneur, de la probité, de la droiture. (dictionnaire Larousse.fr)

Le traitement des données doit respecter le but annoncé lors de la collecte. Si la finalité du traitement change, il faut à nouveau obtenir le consentement de la personne concernée.

Par exemple : je déclare que ma collecte de noms et d’adresses postales sert à envoyer un magazine d’information sur les espaces naturels et la faune dans ma région (exemple tout à fait fictif). Si je décide ensuite d’utiliser cette base de données pour envoyer des propositions commerciales vantant les établissements de séjours dans ma région, je change la finalité du traitement et je dois contacter toutes les personnes concernées pour leur demander si elles acceptent de recevoir ces informations commerciales.

La limitation des finalités de la collecte

Ce principe rejoint en partie celui ci-dessus. Le règlement indique que les données personnelles doivent être :

Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités

Source : art. 5 du RGPD – site de la CNIL

Seuls les traitements archivistiques ou statistiques servant l’intérêt public ne sont pas concernés par ce principe.

Minimisation des données

Le responsable du traitement doit être en mesure de justifier que les données collectées sont bien essentielles pour le traitement. Le RGPD précise : “adéquates, pertinentes et limitées” (art. 5).

On est en droit de se demander s’il est vraiment essentiel de nous demander notre poids lorsque l’on souscrit à un programme de fidélité dans une librairie par exemple (exemple là encore tout à fait fictif).

Exactitude des données

Le responsable du traitement doit également mettre en œuvre les “mesures raisonnables” pour pouvoir corriger ou effacer les données qui se révèlent être périmées ou fausses, toujours vis-à-vis des finalités du traitement.

C’est la fameuse mention : vous disposez d’un droit de consultation et de rectification de vos données…

Une limitation de la conservation

Il n’est pas possible de conserver des données plus longtemps que la durée nécessaire pour la finalité du traitement. Il est donc nécessaire que le responsable du traitement mette en place des mesures pour faire régulièrement le ménage dans ses bases de données personnelles.

Seule exception à ce principe, la conservation des données pour des traitements archivistiques d’intérêt public, scientifique ou historique ou pour des traitements statistiques.

Confidentialité et intégrité

Il revient au responsable du traitement de s’assurer que la collecte, la conservation et le traitement sont réalisés de manière à garantir la protection et la justesse des données. Il doit aussi s’assurer que les données ne sont pas utilisées à des fins illégales ou pour d’autres finalités que celles autorisées.

Les mesures à prendre sont bien sûr d’ordre technique et informatique (comptes individuels et politique de sécurisation des mots de passe, sécurité des équipements informatique…), mais également organisationnel (gestion des personnes autorisées à consulter les données, chaîne de validation de la mise en œuvre du traitement, contrôles réguliers…).

Références et pour plus d’informations :

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *