La loi informatique et libertés définissait déjà les principes, reprécisés au niveau européen par le RGPD, à respecter lors de la collecte, du traitement et de la conservation de données personnelles. Elle garantit également un certain nombre de droits pour les personnes concernées. Le respect de ces principes vous permet de réaliser vos démarches.
La licéité, la loyauté et la transparence
Les données doivent être traitées de manière loyale, licite et transparente.
La licéité du traitement fait référence à son fondement juridique (obligation légale, obligation contractuelle etc.). La loyauté du traitement désigne quant à elle les modalités selon lesquelles les données sont collectées. Ce principe fait référence au droit à l’information des individus. Le responsable de traitement devra fournir une information complète en termes clairs sur le traitement.
Exemples d’application du principe de loyauté et de transparence : mise en ligne d’une politique ou charte « données personnelles », panneau d’information pour une vidéo surveillance.
La finalité
Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées les objectifs de la collecte des données ou autrement dit ce à quoi elles vont lui servir. Plus encore, les données personnelles collectées ne pourront pas être réutilisées pour une autre finalité que celle prévue initialement.
Exemples de finalités : gestion du recrutement, gestion de la clientèle etc. Ainsi à titre d’exemple un fichier de recrutement ne pourra être utilisé pour de la prospection commerciale.
La pertinence ou le principe de minimisation
Les données traitées doivent être pertinentes, adéquates et limitées au regard de la finalité poursuivis. Ainsi seules les données strictement nécessaires à la réalisation de l’objectif déterminé doivent être collectées : c’est le principe de minimisation. Autrement dit le responsable de traitement ne doit pas collecter plus de données que ce dont il a vraiment besoin.
Exemple de données non pertinentes : un site marchand qui propose de tester son produit à domicile n’a pas besoin de collecter ;
La limitation de la conservation des données
Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. La durée de conservation des données doit ainsi être limitée au strict minimum. Cette durée de conservation doit être définie au préalable par responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données qui peuvent être variables. Afin de vérifier le respect de ce principe dans la pratique une procédure de conservation, d’archivage et de purge devra être mise en œuvre.
Exemples de limitation de données : Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.
Respecter les droits des personnes
Au-delà du droit à l’information indiqué plus haut, les personnes dont les données personnelles sont collectées disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données: un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation. (Articles 12 à 23 du règlement).
La sécurité des données personnelles
Le responsable de traitement doit prendre toutes précautions utiles pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…)
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!