Au cœur du GDPR se trouvent sept principes qui fournissent des conseils aux organisations sur la manière de protéger et d'utiliser correctement les données, ainsi que des attentes claires pour les résidents de l'UE quant à la manière dont leurs données doivent être traitées.

Violer ces principes fondamentaux peut entraîner des amendes et sanctions GDPR plus élevées.

Ci-dessous, nous couvrirons chacun des principes de confidentialité des données GDPR afin que vous puissiez mieux comprendre comment traiter les données personnelles et les protéger.

Principes de confidentialité des données

Les sept principes de protection et de responsabilité auxquels les organisations doivent se conformer lors du traitement des données personnelles sont décrits dans l'article 5.1-2 du document GDPR.

Ce ne sont pas des instructions explicites pour conformer au GDPR. Au lieu de cela, ils reflètent l'éthique de la réglementation de la confidentialité des données et aident à guider les organisations dans la manière dont elles traitent les informations personnelles et formulent leurs protocoles de protection des données.

Ci-dessous, nous fournirons un bref aperçu de ces principes.

1. Licéité, équité et transparence

Le traitement des données doit être licite, équitable et transparent pour le sujet des données.

La licéité signifie que vous avez une base légale pour traiter les données personnelles. Le GDPR comprend six raisons:

  • Consentement: L'individu a donné son consentement au responsable du traitement des données.
  • Contrat: Le traitement est nécessaire pour un contrat que vous avez avec l'individu, ou parce que l'individu vous a demandé de prendre des mesures spécifiques avant de conclure un contrat.
  • Obligation légale: Vous devez traiter les données pour respecter la loi.
  • Intérêts vitaux: Vous devez traiter les données pour sauver la vie d'un individu.
  • Mission publique: Vous devez traiter les données dans l'intérêt du public.
  • Intérêt légitime: Le traitement des données est dans votre intérêt légitime ou dans l'intérêt légitime d'un tiers et ne viole pas les droits ou libertés fondamentaux du sujet des données. Il s'agit de la base légale la plus flexible pour le traitement des données. Des exemples d'intérêts légitimes incluent le marketing, la prévention de la fraude et la sécurité informatique.

2. Limitation de la finalité

Le traitement des données doit être limité aux raisons explicitement mentionnées au sujet des données lors de leur collecte. Les exceptions sont si la nouvelle finalité est pertinente par rapport à l'ancienne pour la collecte de ces données, ou si vous avez une responsabilité claire d'exécuter la nouvelle finalité comme indiqué par la loi.

Par exemple, supposons qu'un individu ait contacté une agence de voyages pour demander des informations sur des vols vers la Californie. À l'avenir, cette agence pourrait contacter cet individu pour une offre spéciale sur des vols vers Los Angeles. Cependant, elle ne pourrait pas contacter cet individu au sujet de biens et services non liés aux vacances en Californie. Pour ce faire, elle devrait obtenir le consentement de l'individu pour utiliser ses données d'une nouvelle manière.

3. Minimisation des données

Les organisations ne peuvent traiter que la quantité de données absolument nécessaire aux fins spécifiées.

Selon le règlement, les données doivent être adéquates, pertinentes et limitées. Cela peut signifier différentes choses en fonction de la raison pour laquelle les données ont été collectées.

Il y a trois stipulations spécifiques basées sur ce principe:

  • Si certaines données sont nécessaires pour un ensemble particulier d'individus, l'organisation n'est pas autorisée à les collecter auprès de tous les sujets de données.
  • Les organisations ne peuvent pas collecter des données au motif qu'elles peuvent les utiliser à l'avenir.
  • Si les données collectées à une fin sont insuffisantes, elles ne doivent pas être traitées.

Pour suivre cette directive, les organisations doivent examiner périodiquement les données personnelles qu'elles détiennent et supprimer tout ce qui n'est pas nécessaire.

4. Exactitude

Données personnelles doivent être exactes et à jour.

En vertu du RGPD, les sujets de données ont non seulement le droit de faire corriger les données inexactes, mais les organisations doivent également mettre en place des processus appropriés pour garantir l'exactitude des données dès le départ. Elles sont également tenues de mettre à jour les informations régulièrement, ce qui inclut l'enregistrement et la correction de toutes les erreurs.

5. Limitation du stockage

Les données personnelles ne peuvent être stockées que le temps nécessaire à leur finalité spécifiée.

Le RGPD ne stipule pas de durée. Au lieu de cela, les organisations doivent être en mesure de justifier la durée de conservation des données personnelles et de les revoir régulièrement.

Il existe quelques exceptions. Les données personnelles peuvent être conservées pour des périodes indéfinies à des fins d'intérêt public, de recherche scientifique ou historique, ou de statistiques.

6. Intégrité et confidentialité

Les données doivent être traitées de manière à garantir la sécurité, l'intégrité et la confidentialité. Cela peut nécessiter des mesures de cybersécurité et de sécurité physique.

Le RGPD ne précise pas quelles mesures de sécurité doivent être mises en place, uniquement qu'elles sont « appropriées » aux risques associés au traitement de ces données personnelles.

En fonction de l'organisation et du niveau de risque, les mesures de sécurité comprennent généralement une politique de sécurité de l'information qui stipule qui peut accéder et gérer les données, le chiffrement et la pseudonymisation.

Les organisations doivent également avoir des processus pour restaurer l'accès ou récupérer des données personnelles dans les pires scénarios.

7. Responsabilité

Les responsables du traitement des données doivent être en mesure de démontrer que leurs activités de traitement des données sont conformes à tous ces principes du RGPD.

Cela exige que les organisations documentent les preuves de conformité au RGPD, y compris les responsabilités suivantes :

  • Adopter et mettre en œuvre des politiques pour protéger les données personnelles.
  • Mettre en œuvre des mesures de protection des données tout au long du cycle de vie des données personnelles.
  • Créer et conserver des contrats écrits avec les organisations qui traitent des données pour votre organisation.
  • Enregistrer comment vous traitez nos données.
  • Mettre en œuvre des mesures de sécurité techniques et organisationnelles efficaces.
  • Enregistrer et signaler toute violation de données personnelles.

FAQ

Quels sont les 7 principes du RGPD :

Les 7 principes du RGPD sont :

  1. Légalité, équité et transparence : Le traitement des données doit être licite, équitable et transparent pour le sujet des données.
  2. Limitation de la finalité : Le traitement des données doit être limité aux finalités explicitement indiquées au sujet des données lors de leur collecte.
  3. Minimisation des données : Les organisations ne peuvent traiter que les données strictement nécessaires aux fins spécifiées.
  4. Exactitude: Les données personnelles doivent être exactes et à jour.
  5. Limitation du stockage: Les données personnelles ne peuvent être stockées que le temps nécessaire à leur finalité spécifiée.
  6. Intégrité et confidentialité: Les données doivent être traitées de manière à garantir la sécurité, l'intégrité et la confidentialité.
  7. Responsabilité : Les responsables du traitement des données doivent être en mesure de démontrer que leurs activités de traitement des données sont conformes à tous ces principes du RGPD.

Quel est un exemple de limitation des finalités selon le RGPD ?

Par exemple, si une personne contacte une agence de voyage pour demander des informations sur les vols à destination de la Californie, l'agence pourrait par la suite contacter cette personne pour une offre spéciale sur les vols à destination de Los Angeles. Cela serait possible car le nouvel objectif est compatible avec l'objectif initial. Cependant, l'agence ne pourrait pas contacter cette personne pour ses services de planification de réunions d'entreprise, à moins d'obtenir son consentement spécifique pour ce nouvel objectif.

Quel est le principe d'exactitude des données ?

L'un des principes fondamentaux du RGPD est que les données personnelles doivent être exactes et à jour. Cela nécessite que les organisations mettent en place des processus pour assurer l'exactitude des données personnelles et mettent périodiquement à jour les informations.