Les principes généraux du RGPD
Le respect des principes généraux du RGPD sera dorénavant un préalable nécessaire à la réalisation de tout traitement de données à caractère personnel. Ces principes sont divisés en 2 grands groupes : les principes qui s’appliquent aux données personnelles et les principes qui s’appliquent aux traitements.Le respect de ces principes doit présider la mise œuvre du processus de mise en conformité des traitements de données à caractère personnel réalisés par un établissement soumis au RGPD.
Les principes s’appliquant aux données
Le RGPD introduit plusieurs principes qui doivent être appliqués :
- Le principe de transparence : les données collectées doivent être manipulées en respectant la loi et de manière transparente (communication à la personne concernée avant toute manipulation de ses données) ;
- Le principe de limitation des finalités : les données ne doivent servir qu’aux finalités déterminées avant la réalisation du traitement. Les données ne peuvent pas être réutilisées pour une finalité autre que l’initiale ;
- Le principe de minimisation des données : les données collectées et traitées doivent se limiter au nécessaire au regard des finalités du traitement. Comme illustration, en échange des coordonnées d’un prospect, une entreprise proposera un devis gratuit. Dans ce cas, demander les informations bancaires du prospect serait contraire au principe de minimisation des données ;
- Le principe d’exactitude des données : les données manipulées par l’entreprise doivent être exactes et régulièrement mises à jour (droit de rectification, droit d’effacement) ;
- Le principe de la limitation de conservation des données : les données collectées ne doivent être conservées que pendant une durée bien déterminée ;
- Confidentialité et sécurité des données : les entreprises doivent mettre en place des mesures techniques et/ou organisationnelles permettant de garantir la sécurité maximale des données ;
Les principes applicables aux traitements
À partir du 25 mai 2018, les traitements doivent être mis en œuvre en respectant le principe de licéité. Donc, pour être éligible au RGPD, ils doivent remplir plusieurs conditions :
- Le propriétaire des données a consenti au traitement : le responsable du traitement doit être capable de prouver que la personne concernée a donné son consentement (de manière éclairée) à l’opération de traitement ;
- Le traitement est indispensable à l’exécution d’un contrat ou des mesures précontractuelles ;
- La réalisation du traitement est nécessaire pour l’application d’une obligation légale à laquelle le responsable du traitement est soumis ;
- La réalisation du traitement est liée à la sauvegarde de la vie de la personne concernée ;
- Le traitement est indispensable pour réaliser les buts légitimes du responsable de traitement et si sa réalisation ne va pas à l’encontre des droits et libertés fondamentaux des personnes concernées.
Il ressort de tout ceci que la mise en conformité avec le RGPD doit passer par la mise en place d’une véritable politique informatique et libertés. De plus, une étude du respect des principes sus mentionnés doit être faite avant la réalisation d’un traitement de données. De plus, ces principes doivent être pris en considération au moment de la création d’un nouveau produit ou d’un nouveau service.