RGPD : les grands principes


Matthew Henry

Copyright Matthew Henry

Le principe de finalité Vous ne pouvez recueillir que les données qui sont rigoureusement nécessaire à la finalité de votre activité. Si vous avez une start-up qui conçoit un bracelet renfermant toutes vos données de santé, et pouvant être lues par un professionnel de santé, il parait conforme à cette notion de finalité que vous recueilliez des données de santé. En revanche, une start up de livraison de nourriture ne devrait pas collecter de telles données.

Tout détournement de finalité est passible de 5 ans d’emprisonnement et de

300 000 euros d’amende (article 226-21 du code pénal).

Le principe de proportionnalité

Seules les informations adéquates, pertinentes et nécessaires à la finalité du traitement peuvent faire l’objet d’un traitement de données à caractère personnel. Vous ne pouvez recueillir que les données qui sont rigoureusement nécessaire à la finalité de votre activité, ni plus, ni moins. Vous ne devez enregistrer que les informations qui sont rigoureusement nécessaire à la fourniture du service promis au consommateur… même s’il est parfois difficile de cerner quelles informations sont considérées comme « strictement nécessaires » à la poursuite d’une activité. Par exemple, si vous avez un site de rencontre : est-ce vraiment nécessaire de collecter des informations sur les passions, les opinions politiques, religieuses, les petites habitudes, la situation familiale, personnelle de vos inscrit.e.s ? Ou est ce nécessaire ?

Le principe d’une durée de conservation limitée des données

C’est le droit à l’oubli, les informations contenues dans un fichier doivent être supprimées, à terme. Quel terme ? Tout dépend de la nature du fichier. Pour les informations clients (facture, devis…) pas plus de 5 ans après la fin des relations. Pour des enregistrements de vidéosurveillances, c’est un mois.

Les principes de sécurité et de confidentialité

Les données doivent être strictement sécurisées, et seules des personnes habilitées doivent pouvoir y accéder. Vous êtes responsable en cas de faille de sécurité, ou si des tierces personnes ont volés ces données. Si c’est le cas, vous devez en avertir la CNIL et les personnes victimes de ce vol de données dans les 24h. N’est-ce pas Mark ? Le principe de minimisation des données

Ce principe est simple : on ne peut recourir au recueil de données que si c’est strictement nécessaire, et qu’il n’existe pas d’autres moyens – pour le prestataire/vendeur – de réaliser la mission qui lui a été attribuée par l’internaute. Est-il vraiment nécessaire de connaitre le trajet d’une personne, et de conserver ces données pour permettre à une personne de chasser des pokemons ? de ou rencontrer un partenaire d’un soir ? Est-il réellement nécessaire de connaitre la date de naissance d’un participant à un jeu concours ? ou d’avoir accès à toutes ces données facebook pour savoir à quoi il ressemblera dans 30 ans ? Le principe du droit à l’effacement (ou droit à l’oubli)

L’article 17 du RGPD prévoit le droit à l’effacement permettant aux internautes de demander la suppression de leur données. Ce droit s’entend de manière très large, puisque depuis la jurisprudence Mario Costeja González la CJUE a décidé que des personnes pouvaient demander – si elles étaient légitimes à le faire – que des liens portant sur des informations compromettantes à leur sujet, ou des informations très anciennes mais leur portant préjudice, soient effacées des moteurs de recherche. Autrement dit, demander à Google d’effacer des informations peu flatteuses à votre sujet, à condition que ces informations ne présentent pas un caractère informatif ou historique d’intérêt public. Mais attention, toutes les informations ne pourront être effacées sur simple demande : les informations fiscales, ou comptables devront être conservées pendant une durée légale.

Le principe de portabilité des données

Ce droit permet aux internautes de demander à ce que leurs données puisse être transférées vers un autre opérateur, et que le premier opérateur procède donc à ce transfert en mettant les données « dans un format structuré, couramment utilisé et lisible par machine ». Par conséquent, si vous gérer la comptabilité de clients, vous devez pouvoir lui livrer toutes ces données si il désire changer de comptable.

#rgpd #donnéespersonnelles #principedeproportionnalité #principedefinalité #droitàloubli #principedeminimisationdesdonnées #portabilitédesdonnées

Featured Posts
Recent Posts
Archive
Search By Tags
Pas encore de mots-clés.
Follow Us
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square