Quels sont les principes sur lesquels repose le RGPD ?

Les principes du RGPDLe RGPD repose sur des principes qui doivent guider la mise en place de la gouvernance des données personnelles au sein des organisations. De la bonne mise en oeuvre de ces différents principes dépendra la qualité de la stratégie de gestion des données personnelles – sans parler de la conformité.

Le principe de licéité

C’est le principe cardinal du RGPD. Ainsi, pour être licite, un traitement de données doit respecter l’une des bases légales fixées par le RGPD. Ces différents cas sont alternatifs.

1. Un traitement fait avec l’accord de la personne

C’est le cas le plus simple : la personne a donné son accord pour le traitement de données personnelles. La cas le plus fréquent est l’inscription à une mailing-list pour laquelle la personne donne volontairement son adresse mail.

Dans ce cas, le responsable de traitement doit être en mesure de prouver que la personne concernée a effectivement consenti au traitement de la donnée personnelle. Pour reprendre l’exemple de la mailing-list, il est nécessaire de procéder en plusieurs étapes :

  • recueil de l’adresse mail puis
  • envoi d’un e-mail de confirmation à la personne
  • inscription de la personne une fois que la personne a cliqué sur un lien de confirmation.

Sans cette procédure en plusieurs temps, il sera très difficile de prouver le consentement de la personne à recevoir votre newsletter. Un horodatage de la procédure doit naturellement venir sécuriser l’ensemble de la procédure. Certaines directions marketing devront revoir leurs pratiques pour être conforme au RGPD.

Par ailleurs, le consentement ne concerne qu’un traitement déterminé. Si vous avez plusieurs newsletter, le consentement doit être recueilli pour chacune d’elles.

De plus, ce consentement doit être recueilli de manière éclairée. La personne qui donne volontairement des données personnelles doit être informée clairement sur  les caractéristiques et les modalités du traitement.

Enfin, ce consentement peut être retiré à tout moment. Dans le cadre d’une newsletter, cela implique un lien de désinscription qui fonctionne réellement.

2. Un traitement en lien avec une obligation légale

Le traitement sera considéré comme licite quand il est fait conformément à une obligation légale à laquelle le responsable de traitement est soumis ou quand il est nécessaire à l’exécution d’une mission d’intérêt public.

C’est par exemple le cas pour le traitement des données relatives aux rémunérations des salariés par les employeurs. En effet les employeurs doivent communiquer certaines informations à l’administration fiscale. C’est le cas avec la déclaration annuelle des données sociales (DADS) que doivent faire les directions des ressources humaines. Ce sera également le cas avec le prélèvement à la source de l’impôt sur le revenu qui doit entrer en vigueur en 2019.

3. Un traitement en lien avec un contrat

Un traitement sera considéré comme licite quand il est nécessaire dans le cadre de l’exécution d’un contrat ou qu’il y’a intention de conclure un contrat.

Il s’agit par exemple de recueillir l’adresse postale d’un client pour lui adresser sa commande.
Attention : ce cas ne couvre pas les situations dans lesquelles le traitement n’est pas véritablement nécessaire à l’exécution d’un contrat : un abonnement à une newsletter par exemple. Un client peut simplement souhaiter acheter un bien sans vouloir recevoir votre newsletter.

Rien bien sûr n’interdit de proposer à vos clients de s’inscrire à votre newsletter. Le formulaire d’inscription doit en revanche être distinct du bon de commande.

4. Un traitement en lien avec l’intérêt vital de la personne

Il s’agit du cas dans lequel le traitement de données personnelles sera considéré comme licite quand l’intérêt vital de la personne en question ou d’une autre personne physique est en jeu. Ce cas ne devrait, a priori, ne concerner que les établissements de santé.

5. Un traitement en lien avec l’intérêt légitime de la personne

Dans ce cas de figure, le RGPD impose un critère de mise en balance pour déterminer si ce fondement peut justifier un traitement. Ainsi sont mis en balance :

  • L’intérêt légitime poursuivi par le responsable traitement. Cela peut être la prévention de la fraude par exemple  et
  • L’intérêt des droits et libertés fondamentaux de la personne en cause ; la vie privée notamment.
    En tout état de cause, il incombe au responsable du traitement de démontrer que cet intérêt légitime prévaut sur ceux de la personne.

À ces principes généraux, il faut en ajouter d’autres qui concernent notamment les données.

Les principes relatifs aux données

Au delà du principe de licéité, d’autres principes s’appliquent. Les voici en détail.

1. Le principe de transparence

RGPD - les principes relatifs aux données

Aux termes de ce principe, le traitement des données doit être loyal, licite et transparent. Dès lors, le responsable du traitement doit informer de manière complète les personnes concernées par le traitement des données.

Cette information doit être aisément accessible par elles notamment sur les formulaires de collectes de données, sur les contrats, sur une page web dédiée. Cette information doit être faite pour être facilement compréhensible.

Elle doit donc être rédigée en termes simples.

À défaut d’une telle information les données ne doivent être collectées, utilisées, consultées ou traitées.

2. Le principe de limitation des finalités

Dans ce cadre, les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes.
Cela implique que ces données ne peuvent être traitées par la suite d’une manière incompatible avec ces finalités. La finalité de traitement doit donc être minutieusement réfléchie avant la recueil des données.

3. Le principe de minimisation des données

Pour respecter ce principe il faut que les données traitées soient pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Le recueil de données personnelles au « cas où » n’est donc pas possible aux termes de ce principe.

CE principe nécessite, en amont, de bien anticiper la stratégie de gestion des données personnelles. À défaut, le responsable de traitement doit solliciter l’accord des personnes pour traiter les données recueillies.

Cela implique également que les données à caractère personnel ne peuvent être traitées que si la finalité du traitement ne peut pas être atteinte pas d’autres moyens.

4. Le principe d’exactitude des données

Selon  ce principe, les données traitées doivent être exactes et mises à jour régulièrement avec des rectification, voire un effacement de ces données si elles sont inexactes.

Les données inexactes sont rectifiées ou effacées pour respecter ce principe. Il faut dès lors prendre en compte les demandes de rectification ou d’effacement faites par les personnes concernées.

Cela passe également par l’élaboration de procédures de vérification régulière pour notamment effacer les données obsolètes. Les procédures varient naturellement en fonction de la nature des données. Le nettoyage des bases de données d’emails des adresses erronées grâce aux statistiques d’ouverture d’emails doit devenir systématique. Cela permet également d’avoir une base de données d’emails à jour ce qui limite les erreurs et les coûts.

5. Le principe de limitation de la conservation des données

Suivant ce principe, la durée de conservation des données personnelles doit être la plus courte possible. C’est la finalité de traitement qui donne la limite temporelle de conservation de ces données.

C’est avant la mise en place du traitement que le responsable de traitement détermine la durée adéquate de conservation des données. Il ne faut donc pas conserver de données au-delà du temps strictement nécessaire pour respecter ce principe.

Au delà de la nécessité de respecter le RGPD, conserver des données ad vitam aeternam ne présente aucun intérêt.

6. Le principe de sécurité, d’intégrité et de confidentialité des données

Il faut mettre en place des mesures techniques et ou organisationnelles suffisantes pour protéger les données personnelles et ainsi respecter ce principe. Des entreprises ont déjà modifié leurs pratiques pour minimiser ce risque.

Le respect de ce principe passe par la mise en place d’une politique de sécurité des données. Cette politique de sécurité doit consigner les mesures de sécurité prises pour protéger les données. ll s’agit aussi de consigner les actions de formation du personnel du responsable de traitement.

Cette formalisation de la politique n’est pas facultative. Elle permet, en cas de mise en cause du responsable de traitement, de prouver qu’il a mis en place les procédures nécessaires et suffisantes pour protéger les données personnelles qu’il traitait. C’est le principe d’accountability.

La gouvernance des données personnelles doit refléter l’application de ces principes. Le risque n’est pas tant une non conformité qu’une mise en cause par les clients des mauvaises pratiques !

Articles en lien

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *