Les grands principes du RGPD

Les 7 grands principes sur lesquels repose toute l’architecture du Règlement Général sur la Protection des Données sont listés dès l’article 5, §1 et 2. Il s’agit, dans l’ordre des principes de :

1. Licéité, loyauté et transparence (RGPD art.  5§1.a). Ce principe suppose de ne mettre en œuvre un traitement que s’il repose sur une base légale. Il impose également d’informer préalablement, loyalement et de manière transparente les personnes dont les données à caractère personnel sont collectées de l’existence d’un traitement de ces données ainsi que de la finalité poursuivie par celui-ci. Enfin le responsable du traitement se doit de respecter scrupuleusement les droits des personnes concernées.

2. Limitation des finalités (RGPD art. 5§1.b). Le Responsable de traitement devra dès l’origine déterminer la finalité de chaque traitement de manière claire et précise. Cette finalité devra en outre être légitime, répondre à un besoin objectif du responsable de traitement et ne jamais porter atteinte aux droits fondamentaux des personnes. De plus, les données collectées ne devront en aucun cas être réutilisées ultérieurement pour une finalité différente.

3. Minimisation des données (RGPD art. 5§1.c). Ce principe de minimisation des données correspond peu ou prou au principe de proportionnalité des données qui avait auparavant été défini par la Loi Informatique et Libertés. Une donnée qui n’est pas nécessaire au traitement ne devrait donc jamais être collectée (ou de façon facultative), quand bien même elle ne serait nullement intrusive.

4. Exactitudes des données (RGPD art. 5§1.d). Le responsable du traitement se doit d’accorder une vigilance particulière à l’exactitude des données au moment de leur collecte. Il doit également s’assurer en permanence que les données soient correctement tenues à jour.

5. Limitation de la conservation (RGPD art. 5§1.e). La durée de conservation, par le responsable du traitement, des données à caractère personnelle dans le temps doit être proportionnelle à la nature des données en question selon un principe qui pourrait se résumer de la sorte, plus les données sont intrusives, plus elles doivent être supprimées rapidement. En tout état de cause, cette durée de conservation se doit d’être conforme aux prescriptions législatives en vigueur (Code du Travail, Code de la Consommation…).

6. Sécurité (RGPD art. 5§1.f). Cette sécurisation des données à caractère personnel repose sur trois types de sécurités :
▪ Physique ; telles que des restrictions d’accès aux salles informatiques ou aux armoires dans lesquelles sont rangés les dossiers,
▪ Logique ; par exemple des mesures techniques de protection des données et de limitation d’accès (mots de passe, politique d’habilitation, chiffrement…),
▪ Juridique : par l’insertion, notamment, de clauses spécifiques dans les contrats passés avec les sous-traitants.

7. Responsabilité (RGPD art. 5§2). Ce principe de responsabilité est en réalité le principe d’accountability qui sous-entend que l’organisme se doit d’être conforme à la règlementation et d’être en mesure à chaque instant d’en apporter la preuve.

Safety concept: Data Protection on digital background