Les grands principes du RGPD se trouvent notamment dans son article 5. Les voici récapitulés avec quelques mots d’explication. Toute formation RGPD dispensée aux employés doit couvrir ces principes à minima.

En Europe et ailleurs, les principes fondamentaux de la protection des données personnelles guident le contenu des lois sur le sujet. Ce ne sont pas que les principes du RGPD ; ils existent dans d’autres textes sur le droit à la protection des données personnelles. On les retrouve par exemple dans les instruments internationaux et nationaux que sont les lignes directrices de l’OCDE et même dans la PIPL en Chine. Savoir quels sont les principes du RGPD est primordial. Tous ces principes se recoupent, s’enchevêtrent et sont interdépendants, ce qui explique que les différents textes et la doctrine juridique en distinguent des nombres différents.

Voir aussi : Les principes éthiques de l’IA

Les principes du RGPD sont :

1. Licéité et loyauté

Licéité : la collecte et le traitement doivent reposer sur au moins un des fondements juridiques de l’article 6 du RGPD. Loyauté : Ce qui est traité doit correspondre à ce qui a été décrit à la personne concernée. Cette information claire lui permet par exemple de donner un consentement valide ou d’exercer ses droits. Sur le consentement, voir les lignes directrices du CEPD.

2. Transparence

Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement). Il convient de bien identifier le responsable du traitement. À consulter, les lignes directrices du CEPD sur le sujet.

La transparence est regroupée avec les autres principes du RGPD que sont la licéité et la loyauté à l’article 5.1.a, bien que la doctrine juridique en fasse habituellement un principe distinct. Les articles

3. Limitation des finalités

Les données personnelles ne peuvent être obtenues que pour des « finalités déterminées, explicites et légitimes » (article 5.1.b). Les données ne peuvent être utilisées qu’aux fins spécifiques ayant justifié la collecte et/ou traitement en premier lieu.

4. Minimisation des données

Les données recueillies sur un sujet doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées  » (article 5.1.c). En d’autres termes, la quantité minimale de données doit être recueillie et conservée pour un traitement spécifique. Voir l’article de la CNIL sur la pertinence des données.

5. Exactitude (qualité des données)

Les données doivent être « exactes et, si nécessaire, tenues à jour » (article 5.1.d). Il incombe aux détenteurs de données de créer des processus de rectification et suppression dans les bases de données des données des sujets. Ce qui rejoint le principe du droit d’accès et ses composantes.

6. Droits des personnes (accès, rectification, suppression, objection…)

Par le droit d’accès, les personnes concernées sont en droit d’obtenir la communication des informations personnelles les concernant, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique.

Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés.

Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle.

Important, le RGPD crée le droit à la portabilité des données, qui est une extension du droit d’accès.

7. Limitation de la conservation des données

Le GDPR dispose que les données personnelles soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.e). En d’autres mots, les données qui ne sont plus requises doivent être supprimées. Voir les recommandations de la CNIL.

8. Intégrité et confidentialité (sécurité des données)

Le responsable du traitement des données personnelles doit en garantir la sécurité, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle »  (article 5.1.f).

Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé.

Toute personne agissant sous l’autorité du responsable du traitement, y compris ses propres sous-traitants, ne doit traiter les données que sur ses instructions.

C’est un sujet large, particulièrement sensible et technique. La CNIL propose beaucoup de ressources pour vous aider.

9. Responsabilité (accountability)

Le responsable du traitement des données doit être capable de démontrer sa conformité avec la totalité des autres principes. (article 5.2). Cela passe notamment par la tenue de registres de traitement et les études d’impact sur la vie privée (Privacy Impact Assessments), mais aussi les analyses de licéité et les analyses d’intérêt légitime.

Les employés doivent connaître les principes du RGPD

Pour pouvoir démontrer sa conformité au RGPD, une entreprise doit notamment s’assurer qu’une formation RGPD est prodiguée à ses employés. Celle-ci peut être à distance en e-learning, mais elle doit être adaptée au niveau d’exposition des employés aux données personnelles et prodiguée par des consultants RGPD expérimentés. Par exemple, un RH devra recevoir une formation RGPD plus poussée qu’un employé en logistique. Il devra parfaitement connaître quels sont les principes de la protection des données personnelles, puisque cet employé est en première ligne des traitements sensibles. Mais sa formation doit aussi aller au-delà, puisqu’il faudra être capable de réaliser ou participer à des analyses d’impact (DPIA), etc.

Pour les employés moins exposés, une sensibilisation aux principes du RGPD peut suffire. Dans tous les cas, l’entreprise doit pouvoir démontrer avoir donné cette formation (via des certificats et listes de participation, notamment).

AI & Data Privacy Compliance

Sur ce blog sont publiés des articles sur les réglementations de l'IA et des données personnelles en Europe, en Chine et aux États-Unis.