Les grands principes du RGPD se trouvent notamment dans son article 5. Les voici récapitulés avec quelques mots d’explication. Ces grands principes guideront toute mise en conformité GDPR d’une entreprise.
En Europe et ailleurs, les principes fondamentaux de la protection des données personnelles guident le contenu des lois sur le sujet. Ce ne sont pas que les principes du RGPD ; ils existent dans d’autres textes sur le droit à la protection des données personnelles. On les retrouve par exemple dans les instruments internationaux et nationaux que sont la loi cybersécurité en Chine et les lignes directrices de l’OCDE. Tous ces principes se recoupent, s’enchevêtrent et sont interdépendants, ce qui explique que les différents textes et la doctrine juridique en distinguent des nombres différents.
Ces principes sont définis de façon large ; un lien est placé vers des articles plus précis et contenant plus d’information le cas échéant.
Contents
- 1. Licéité et loyauté
- 2. Transparence
- 3. Limitation des finalités
- 4. Minimisation des données
- 5. Exactitude (qualité des données)
- 6. Droits d’accès, de rectification, de suppression et d’objection
- 7. Limitation de la conservation des données
- 8. Intégrité et confidentialité
- 9. Responsabilité (accountability)
1. Licéité et loyauté
Licéité : la collecte et le traitement doivent reposer sur au moins un des fondements juridiques de l’article 6 du RGPD. Loyauté : Ce qui est traité doit correspondre à ce qui a été décrit à la personne concernée. Cette information claire lui permet par exemple de donner un consentement valide ou d’exercer ses droits. Sur le consentement, voir les lignes directrices du CEPD.
2. Transparence
Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement). Il convient de bien identifier le responsable du traitement. À consulter, les lignes directrices du CEPD sur le sujet.
La transparence est regroupée avec les autres principes du RGPD que sont la licéité et la loyauté à l’article 5.1.a, bien que la doctrine juridique en fasse habituellement un principe distinct. Les articles
3. Limitation des finalités
Les données personnelles ne peuvent être obtenues que pour des « finalités déterminées, explicites et légitimes » (article 5.1.b). Les données ne peuvent être utilisées qu’aux fins spécifiques ayant justifié la collecte et/ou traitement en premier lieu.
4. Minimisation des données
Les données recueillies sur un sujet doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.c). En d’autres termes, la quantité minimale de données doit être recueillie et conservée pour un traitement spécifique. Voir l’article de la CNIL sur la pertinence des données.
5. Exactitude (qualité des données)
Les données doivent être « exactes et, si nécessaire, tenues à jour » (article 5.1.d). Il incombe aux détenteurs de données de créer des processus de rectification et suppression dans les bases de données des données des sujets. Ce qui rejoint le principe du droit d’accès et ses composantes.
6. Droits d’accès, de rectification, de suppression et d’objection
Par le droit d’accès, les personnes concernées sont en droit d’obtenir la communication des informations personnelles les concernant, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique.
Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés.
Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle.
Important, le RGPD crée le droit à la portabilité des données, qui est une extension du droit d’accès.
7. Limitation de la conservation des données
Le GDPR dispose que les données personnelles soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.e). En d’autres mots, les données qui ne sont plus requises doivent être supprimées. Voir les recommandations de la CNIL.
8. Intégrité et confidentialité
Le responsable du traitement des données personnelles doit en garantir la sécurité, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » (article 5.1.f).
Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé.
Toute personne agissant sous l’autorité du responsable du traitement, y compris ses propres sous-traitants, ne doit traiter les données que sur ses instructions.
C’est un sujet large, particulièrement sensible et technique. La CNIL propose beaucoup de ressources pour vous aider.
9. Responsabilité (accountability)
Le responsable du traitement des données doit être capable de démontrer sa conformité avec la totalité des autres principes. (article 5.2). Cela passe notamment par la tenue de registres de traitement et les études d’impact sur la vie privée (Privacy Impact Assessments), mais aussi les analyses de licéité et les analyses d’intérêt légitime.
Merci aux étudiants du Master 2 @M240Dauphine de m’avoir permis de leur présenter la protection des données personnelles en #Chine 🙂 Avec un aperçu comparatif UE-Chine.
Juste après la présentation du droit U.S. par @ninagosse #EUdataP #dataprivacy cc @Juriste_Crts @sauronjl— Emmanuel Pernot-Leplay (@EmmanuelPernot) February 10, 2020