Le Réglement Général sur la Protection des Données (RGPD) prévoit six principes relatifs à la protection des données applicables à toutes activités de traitement de données à caractère personnel.
Être familier avec chacun de ces principes permet de comprendre les autres exigences de la règlementation européenne (RGPD) telles que la mise en place de procédures, l’analyse d’impact des traitements de données, les politiques de confidentialité etc. En effet, tout l’objectif du RGPD est d’assurer la conformité des traitements de données à caractère personnel avec ces principes.
En pratique, lorsqu’il s’agit d’évaluer la conformité RGPD d’un traitement de données particulier, il convient de s’assurer que chacun des princpes est respecté.
Cet article a pour objectif de présenter chacun des six principes :
- transparence ;
- limitation des finalités ;
- minimisation des données ;
- exactitude ;
- durée de conservation limitée ; et
- sécurité.
Principe 1: légalité, loyauté et transparence
« Les données sont traitées de manière licite, loyale et transparente au regard de la personne concernée »
Dans la pratique, traiter des données de manière licite signifie que la collecte de données à caractère personnel repose sur un fondement juridique (par exemple, consentement, intérêt légitime, exécution d’un contrat, etc.) : voir ici pour plus d’information sur les bases légales du traitement.
Pour être licite, le traitement des données doit également être effectué de manière loyale et transparente. À cette fin, les personnes concernées doivent être informées du traitement de leurs données quel que soit le fondement juridique de ce dernier.
C’est pourquoi la rédaction d’une politique de confidentialité est l’une des obligations du responsable de traitement (voir ici pour plus de détails sur le contenu d’une politique de confidentialité).
Principe 2: Limitation des finalités
«Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieument d’une manière incompatible avec ces finalités. »
Finalité déterminée : avant de collecter des données personnelles, au moins une finalité de traitement doit être identifiée. En effet, il faut être en mesure de répondre à ces questions : «pour quelles raisons avons-nous besoin des données ? et / ou qu’allons-nous faire des données ? »
Finalité explicite : chaque raison pour laquelle les données doivent être collectées correspond à une finalité de traitement et chacune d’entre elles doit être spécifiée dans la politique de confidentialité fournie à la personne concernée avant de recueillir ses données (transparence).
Finalité légitime : le RGPD n’explique pas avec précision ce que signifie une finalité légitime. Toutefois, «légitime» signifie se conformer à la loi. Par conséquent, une « finalité légitime» doit être une finalité conforme à la loi applicable.
Finalités incompatibles : dans le cas où les responsables de traitement souhaitent ultérieurement utiliser les données de la personne concernée pour une nouvelle finalité non prévue au moment de la collecte des données, il doit vérifier si cette dernière est compatible avec les précédentes. Dans le cas contraire, il ne devrait pas traiter les données à cette nouvelle fin.
Le RGPD ne fournit pas de critères clairs permettant de déterminer si une finalité est incompatible. Toutefois, cette question se pose essentiellement lorsque le responsable de traitement souhaite mettre en oeuvre des nouveaux traitements sur la base de son intérêt légitime.
En effet, la détermination du fondement juridique/base légale de la nouvelle finalité du traitement peut aider à répondre à la question de l’incompatibilité.
Par exemple, si le consentement est requis, il est très probable que la nouvelle finalité était initialement considérée comme incompatible avec les premières. Toutefois, le consentement permet de lever cet obstacle.
Dans les autres cas, et plus particulièrement lorsque le responsable de traitement a l’intention de se fonder sur son intérêt légitime, la question de l’incompatibilité doit être tranchée avec beaucoup d’attention car la probabilité d’incompatibilité est plus élevée. Il faudra, dans ce cas, se demander si la personne concernée pouvait raisonnablement s’attendre à ce que ses données soient traitées pour ses finalités. (Il conviendra dans tous les cas de l’en informer).
Par ailleurs, la recherche scientifique et historique, l’archivage dans l’intérêt public ou les statistiques sont les seules finalités nouvelles qui n’ont pas besoin de passer le test d’incompatibilité.
Principe 3: Minimisation des données
« Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »
Une fois les finalités définies, seules les données nécessaires pour remplir ces objectifs doivent être collectées (par exemple, les données de carte de paiement ne sont pas nécessaires pour fournir un service gratuit et ne doivent donc pas être collectées).
Distinguer les données strictement nécessaires de celles qui apportent un simple confort ou un meilleur résultat peut s’avérer très difficile dans certains cas et un conflit entre les intérêts de chaque intervenant peut soulever des difficultés pour obtenir l’information correcte et évaluer ce qui est réellement nécessaire.
Par exemple, lorsque la finalité est le profilage, plus l’on a de données meilleur est le profilage, il en va de même pour des raisons de sécurités des applications ou des lieux etc.
Cependant, bien que toutes les données peuvent sembler utiles à ces finalités, elles ne sont pas toutes strictement nécessaires et il est parfois difficile pour les personnes en charge de la conformité RGPD de faire le tri.
Ainsi, les lois, jurisprudences et des recommandations des autorités peuvent aider. Il faut également une bonne compréhension du traitement, des technologies actuelles et des besoins et objectifs des services concernées pour pouvoir déterminer les données strictement nécessaires et éviter toutes intrusions inutiles ou disproportionnées dans la vie privée des personnes concernées.
Par ailleurs, collectés/accéder à des données inutiles parce que l’application/logiciel le permet ou l’exige ne sont pas considérées comme une bonne raison pour recueillir plus de données que nécessaire. Il faut donc utiliser un produit/application en conformité avec la loi.
Principe 4: Exactitude
« Les données à caractère personnel doivent être exactes et, si nécessaire, actualisées »
Ce principe est assez simple, mais pas toujours facile à mettre en œuvre correctement.
Du point de vue du responsable de traitement, données «exactes» doit être interprété comme des données saisies avec exactitude sur la base des informations fournies par la personne concernée.
En effet, si un utilisateur commet une erreur volontaire ou non, le responsable de traitement ne peut être tenu responsable, à moins que la loi prévoit le contraire ou que la spécificité du traitement implique que des vérifications devait être mises en place.
Dans tous les cas, si le responsable de traitement est informé qu’une donnée n’est pas exacte, il ne devrait plus l’utiliser et la supprimer ou la mettre à jour. (Par exemple, si un courrier est renvoyé en raison d’un changement d’adresse, l’adresse ne doit plus être utilisée pour envoyer du courrier ou autre chose).
En outre, les personnes concernées ont le droit de demander la suppression et la correction de données inexactes (voir la synthèse des droits de l’individu ici).
S’il est nécessaire de mettre à jour les informations en raison de la finalité du traitement des données, les données devraient être tenues à jour. En pratique, cela signifie généralement de demander à la personne concernée si les données sont toujours exactes avant de les utiliser lorsque cela est nécessaire (par exemple, demander si l’adresse fournie dans le compte est toujours exacte avant d’envoyer un colis).
L’obligation de mise à jour des données ne doit pas être interprétée comme une obligation pour le responsable du traitement d’effectuer des recherches et de recueillir des données n’importe où afin de s’assurer que sa base de données est à jour. Par exemple, une entreprise de recrutement n’est pas censée mettre à jour le profil de ses candidats en naviguant sur Linkedin ou tout autre réseau social professionnel afin de maintenir à jour sa propre base de données. Les informations préalables et le consentement du candidat seraient fortement recommandés dans ce cas. En effet, les données personnelles, même rendues publiques, restent des données personnelles et sont toujours soumises au RGPD.
Principe 5: Durée de conservation limitée
« Les données ne doivent pas être conservées plus longtemps que nécessaire »
Avant de commencer le traitement de données et une fois toutes les finalités définies, une durée de conservation des données maximum doit être déterminée afin de conserver les données aussi longtemps que nécessaire.
Il peut être difficile de de répondre à ce point avec précision tant d’un point de vue juridique que pratique car la détermination d’une durée de conservation des données peut être subjective et peut varier d’un besoin d’un responsable de traitement à l’autre.
Cependant, les recommandations, la loi et parfois les jurisprudences permettent de définir la durée de conservation.
En outre, lors de la définition de la durée de conservation des données, une différence doit être faite entre la base de données active et l’archivage.
Par exemple, si un client a décidé de fermer un compte utilisateur en ligne qu’il détenait pour acheter ses produits ou services, ce dernier devrait être supprimé de la base de données clients du e-commerçant.
Toutefois, les informations devraient être conservées dans une archive tant qu’il est nécessaire de se conformer à une obligation légale ou tant que tout délai de prescription est en cours.
Principe 6: Sécurité
La sécurité est le principe le plus facile à définir mais le plus difficile à respecter.
En effet, les données à caractère personnel doivent être considérées comme des données confidentielles et parfois comme des données sensibles (par exemple, informations sur les cartes de paiement, catégories particulières de données (orientation sexuelle, race, etc.) compte tenu du risque qu’engendrerais la perte de ces données pour l’utilisateur.
Des mesures de sécurité appropriées devraient être mises en œuvre afin de préserver la sécurité des données. En cas de perte de données, le responsable de traitement doit être en mesure de démontrer qu’il a pris des mesures de sécurité appropriées sinon il peut faire l’objet d’une amende très élevée (jusqu’à 4% du chiffre d’affaires mondial annuel)
L’attaque de sécurité étant l’une des plus grandes menaces aujourd’hui, il est de plus en plus difficile de s’assurer que les données demeureront confidentielles. Par conséquent, le responsable de traitement et le sous-traitant doivent être en mesure de démontrer qu’ils avaient pris les mesures appropriées pour assurer la sécurité des données. (voir ici pour plus d’information sur les notification en cas de violation des données).
Nouveau principe : le principe de responsabilité
Les principes de protection de la vie privée n’ont pas changé avec la nouvelle réglementation en matière de protection des données, mais tout responsable de traitement de données doit maintenant être en mesure de démontrer qu’il respecte chacun d’eux.
Ce nouveau principe introduit par le RGPD, principe de responsabilité, peut être respecté grâce à la mise en place de politiques et à des procédures adéquates.
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat
Cette publication est également disponible en en_GB.