Article 5

Principes relatifs au traitement des données à caractère personnel

1. Les données à caractère personnel doivent être:

(a)

traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

(b)

collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

(c)

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

(d)

exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

(e)

conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

(f)

traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Qu'est-ce que ça veut dire?

Le RGPD réglemente l’utilisation des données personnelles, ce qui est un sujet compliqué. Ces principes sont une mesure douce et un moyen de garantir que tout traitement de données est effectué conformément aux intentions de la loi. Vous devez toujours avoir ces principes à l’esprit lorsque vous traitez des données personnelles.

L’article 5 est une excellente ligne directrice pour évaluer vos activités de traitement au regard du RGPD.

S’il y a une chose à retenir du RGPD, ce sont ces sept principes.

Le principe de responsabilité vous oblige à documenter votre respect des principes énoncés à l’article 5. Il s’agit d’une exigence essentielle qui peut sembler quelque peu arbitraire.

Pour chaque activité de traitement que vous avez déjà ou que vous envisagez de lancer, vous devez concevoir votre traitement de manière à respecter ces principes.

Une façon de le faire est d’inclure une description de votre respect de ces principes dans vos registres des activités de traitement (article 30). À bien des égards, le respect des exigences de l’article 30 vous permet de vous conformer au principe de responsabilité de l’article 5.

Les employés doivent suivre ces principes au sein de votre organisation. La formation de vos employés à ces principes devient donc un outil de conformité et un excellent moyen d’améliorer la sécurité des données dans la pratique. Démontrer que vous avez formé vos employés à ces principes est l’une des nombreuses mesures que vous pouvez prendre pour démontrer le respect du principe de responsabilité.

Vous devez toujours respecter la loi et ses intentions. Vous devez traiter les données personnelles de manière transparente afin que le sujet puisse consentir ou s’engager en toute connaissance de cause dans votre entreprise. Vous devez traiter les données personnelles des clients et des employés de manière équitable et de la manière attendue.

La finalité initiale de votre collecte de données et de votre traitement doit être respectée. Par exemple, si vous collectez des adresses électroniques pour la lettre d’information de votre entreprise, vous devez respecter la finalité initiale de cette collecte de données, à savoir l’envoi d’une lettre d’information au nom de votre entreprise. Vous ne devez pas partager ces courriels avec des entreprises ni les utiliser à d’autres fins que celles déjà communiquées aux personnes concernées.

Votre traitement des données à caractère personnel doit être limité à ce qui est nécessaire pour atteindre la finalité de votre traitement des données. En général, le traitement des données à caractère personnel doit se faire sur la base du “besoin de disposer” et non du “souhait de disposer”.

Le traitement des données doit être précis. L’exactitude implique de disposer de procédures organisationnelles, de systèmes et de mises en œuvre techniques pour garantir que les données sont correctes et mises à jour.

Vous ne pouvez pas conserver les données personnelles plus longtemps que nécessaire. Vous définissez votre nécessité en fonction de la finalité de l’activité de traitement et des exigences légales en matière de limitation de la conservation. De nombreuses activités de traitement ont des liens juridiques avec, par exemple, le droit du travail, et il convient de les respecter.

Votre entreprise doit garantir l’intégrité des données personnelles et, par conséquent, la fiabilité et l’exactitude des données dans le temps.

Votre entreprise doit traiter les données personnelles en toute confidentialité, et les personnes non autorisées ne doivent pas avoir accès aux données de vos clients ou de vos employés.

Les personnes non autorisées peuvent être des pirates, des voleurs ou de simples employés qui n’ont aucune raison d’accéder à des données personnelles spécifiques.

Vous pouvez garantir l’intégrité et la confidentialité des données personnelles en mettant en œuvre des mesures techniques et organisationnelles appropriées.

Un niveau de sécurité approprié peut varier au sein de l’entreprise en fonction des différentes finalités du traitement des données. Elle peut également varier d’une entreprise à l’autre, car elles ont toutes des activités de traitement différentes.

Vous pouvez déterminer si vous disposez d’un niveau de sécurité approprié en procédant à une évaluation des risques liés à vos activités de traitement des données personnelles.

Avec le résultat d’une évaluation des risques en main, vous pouvez évaluer quels secteurs de votre entreprise peuvent nécessiter une sécurité supplémentaire.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About