Les huit règles d'or du RGPD
Impossible d'accéder à la ressource audio ou vidéo à l'adresse :
La ressource n'est plus disponible ou vous n'êtes pas autorisé à y accéder. Veuillez vérifier votre accès puis recharger la vidéo.
Fondamental :
la finalité du traitement,
la licéité du traitement,
la minimisation des données,
la protection particulière de certaines données,
la conservation limitée des données,
l'obligation de sécurité,
la transparence,
les droits des personnes.
Finalité du traitement
La finalité du traitement doit être légitime et explicitement définie. La finalité du traitement doit être communiquée à l'avance et il est interdit de détourner la finalité d'une donnée.
Licéité du traitement
Le traitement doit être licite. Six conditions de licéité ont été définies afin d'expliciter cette notion.
Exemple :
Par exemple :
la personne a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques,
le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis,
...
Minimisation des données
Seules les données nécessaires à la finalité du traitement peuvent être collectées.
Exemple :
Par exemple, il est interdit pour un service de livraison de demander des informations médicales. En effet, dans le cadre d'une livraison, les informations médicales n'aideront pas à atteindre la finalité. En revanche, le domicile du client est pertinent.
Protection particulière de certaines données
Les données sensibles doivent être collectées et traitées en respectant des conditions strictes.
Exemple :
Par exemple, les données médicales nécessiteront des conditions bien spécifiques de traitement et de stockage car une fuite de ce type de données serait bien plus grave que la fuite d'un simple fichier client.
Conservation limitée des données
Une fois la finalité atteinte, les données doivent être archivées, supprimées ou anonymisées.
Ces opérations doivent répondre à des obligations légales, notamment sur l'archivage : les hébergeurs ont une obligation légale de conservation des données. Ainsi, une donnée doit être archivée durant un certain temps avant de pouvoir être supprimée. Les données archivées doivent toutefois rester séparées des données encore sujettes au traitement.
Obligation de sécurité
Le responsable de traitement doit mettre en place une sécurité adaptée à la sensibilité des données.
Même pour des données peu sensibles, il faut assurer une sécurité suffisante pour éviter une fuite.
Transparence
Les personnes doivent être informées du traitement de leurs données, de la condition justifiant de la licéité du traitement, la durée de conservation ainsi que de la manière d'exercer leurs droits (information ou suppression par exemple).
Exemple :
Par exemple, il est nécessaire de laisser le droit à l'information en fournissant les coordonnées de la personne à contacter en cas de question sur ses données ou leur traitement.
Droits des personnes
Chaque personne dispose de nombreux droits afin de conserver le contrôle de ses données personnelles :
Droit d'accès
Droit de rectification
Droit d'opposition
Droit à l'effacement
À retenir
Le RGPD possède 8 règles d'or permettant d'orienter le développeur dans ses choix de conception.
Ces règles d'or ont toutes un but commun : protéger les libertés individuelles.