I. Les données personnelles doivent être collectées de façon licite, loyale et transparente
• Concernant la licéité
Pour pouvoir traiter une donnée personnelle, il faut que la finalité du traitement entre dans au moins une des 6 hypothèses de licéité qui sont prévues. Consultez la section consacrée à ces hypothèses.
• Concernant la loyauté et la transparence
Le responsable du traitement doit informer la personne concernée qu’il traite ses données, et aussi comment il traite les données en communiquant notamment la finalité et la base juridique du traitement.
Cf. Articles 13 et 14 du RGPD
Le principe de transparence exige que toute information et toute communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.
Consultez la checklist des éléments concernant l'information des personnes concernées.
II. Les données personnelles doivent être collectés pour une finalité bien déterminée
Suivant ce principe, il est exigé que les données soient collectées pour des finalités déterminées, explicites, et légitimes.
Ce principe impose aussi que les données ne soient pas traitées ultérieurement de manière incompatible avec ces finalités.
Le RGPD fixe une série de critères permettant de déterminer la compatibilité d’un traitement ultérieur dont les suivants (art.6(4) du RGPD) :
- l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
- le contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement.
Il est possible de traiter des données à une fin différente sans s’interroger sur la compatibilité dans deux cas :
- si la personne concernée a donné son consentement ;
- si le traitement ultérieur est légalement prévu.
On notera que les traitements ultérieurs à des fins archivistiques dans l’intérêt public, à des fins de recherches scientifique ou historique, ou à des fins statistiques sont considérés comme compatibles sous certaines conditions (article 89 (1) du RGPD).
III. Seules les données nécessaires doivent être collectées
Seules les données adéquates, pertinentes et nécessaires doivent être collectées (le principe de la minimisation des données).
IV. Une durée de conservation proportionnée doit être déterminée
La durée de conservation des données doit être limitée au strict minimum.
Afin de garantir que les données ne soient pas conservées au-delà du nécessaire il est conseillé de fixer des délais pour l’effacement des données, ou pour une vérification périodique (considérant 39 du RGPD).
V. Les données doivent être exactes
Les données doivent être mises à jour, et toute inexactitude doit être corrigée sans tarder.
VI. Il faut assurer l’intégrité et la confidentialité des données
Il s’agit de l’obligation d’assurer la sécurité de données auquel s’ajoute l’obligation de notifier à l’autorité de contrôle, voire aux personnes concernées, les violations de données.
VII. Il faut pouvoir démontrer sa conformité
• La notion d’« accountability »
Le responsable du traitement, non seulement est responsable en cas d’une violation au RGPD, mais aussi qu’il doit être à même de démontrer que ses traitements sont en conformité avec les différents principes.
• L’obligation de cartographier les traitements
L’article 30 du RGPD impose l’obligation pour les responsables de tenir un «registre des activités de traitements» mais une exception est prévue pour les entreprises de moins de 250 employées sauf si :
- le traitement n’est pas occasionnel ;
- le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
- le traitement porte notamment sur une donnée sensible.
Des modèles de registres sont proposées par les autorités nationales de contrôle, comme par exemple :
- le « Compliance Support Tool » de la CNPD (L)
- le registre proposé par la CNIL (F)
• La checklist simplifiée
Pour assurer la conformité avec les traitements qu’une PME est susceptible de faire, un exemple de « checklist simplifiée » est proposé par la CNPD.
• L’analyse d’impact (article 35 du RGPD)
L’analyse d’impact doit définir les risques encourus pour les droits et libertés des personnes concernées, et les solutions pour y faire face.
Une analyse d’impact est notamment imposée en cas d'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques fondée sur un traitement automatisé (y compris le profilage) et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique.