L’article 5 du RGPD
Article 5 – Principes relatifs au traitement des données à caractère personnel
« Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
Cet article est magnifique, les mots clés sont tous là et doivent dorénavant devenir des réflexes pour toute entreprise travaillant en Europe.
licéité : Il semble évident que vous ne devez utiliser les données que pour des actes autorisés par la loi.
loyauté : La loyauté, c’est le terme utilisé par le RGPD pour décrire l’honnêteté que vous devez faire preuve envers les détenteurs des données personnelles collectée.
transparence : Vous devez assurer une parfaite accessibilité de l’information dans les domaines qui regardent les détenteurs des données personnelles collectée.
limitation des finalités : Délimiter les périmètres des données acquises.
minimisation des données : ne demandez que ce dont vous avez besoin.
exactitude : Faite en sorte d’avoir un fichier à jour, c’est à dire que le vielle adresses qui ne servent plus ne doivent plus être dans votre fichier.
limitation de la conservation : Respecter les règles de conservation par type, définissez et appliquez une conservation logique avec votre métier.
intégrité et confidentialité : Faites en sorte de ne pas être une passoire, et que vos données personnelles soient accessibles par le public, la CNIL va sans doute être beaucoup plus méchante maintenant que l’exemple à été donné.
responsabilité : vous avez la nécessité morale de répondre, de vous porter garant vos actions ou de celles des autres dans le cadre du RGPD.
Dans l’exemple précédent de Darty, il faut savoir que le problème venait d’un sous-traitant. C’est Darty qui a été condamné, bientôt le sous-traitant le sera aussi.
Cependant qu’est-ce qu’un traitement ?
En voici quelques exemples :
Collecte, enregistrement, organisation, structuration, conservation, adaptation, modification,
extraction, consultation, utilisation, communication par transmission, diffusion, mise à disposition, rapprochement, interconnexion, limitation, effacement, destruction, Gestion du personnel et des rémunérations, trombinoscope et annuaire d’entreprise, gestion des
fournisseurs, gestion de la comptabilité, gestion des clients et des opérations commerciales, de fidélisation et de prospection, lutte contre la fraude, surveillance vidéo, contrôle des accès
On pourrait presque se demander, qu’est-ce qui n’est pas un traitement ? Et bien en fait rien.
Tout ce que vous réalisez sur une données à caractère personnel doit être cartographié, détaillé et argumenté.
