Article 5 RGPD

A travers ce principe, les organismes sont obligés

• d’informer les personnes concernées du traitement de leurs données (loyauté);
• d’informer les personnes concernées des modalités de traitement de leurs données et de leurs droits (transparence);
• de fonder juridiquement leur traitement sur une obligation légale ou règlementaire – texte de loi, respect d’un contrat, … – (licéité).

Les informations à fournir aux personnes concernées afin de respecter les principes de loyauté et transparence sont prévues aux articles 12 à 14 du RGPD.

L’organisme pour le compte duquel les données sont traitées définit des finalités (déterminées) compatibles avec son activité (légitimes) avant de lancer le traitement.

Les finalités du traitement doivent être rédigées de façon à exprimer simplement le besoin auquel tend à répondre le traitement des données (explicites).

L’organisme récolte et traite uniquement les données nécessaires à l’atteinte d’un objectif. Autrement dit, lors de la mise en oeuvre d’un traitement de données il est interdit de traiter des données n’ayant pas un intérêt pour l’atteinte des finalités du traitement.

Pour respecter efficacement ce principe, demandez-vous quel est le minimum de données dont vous avez besoin pour mener à bien le traitement.

Le traitement de données erronées peut rendre complexe l’atteinte des finalités d’un traitement. Autant pour ses intérêts que pour ceux de la personne concernée, l’organisme doit s’assurer autant que possible de traiter des données toujours exactes.

Plus longtemps une donnée est conservée, moins elle reste fiable (défaut de mise à jour, nouveaux contextes, …).

Afin d’éviter que des données obsolètes ne soient utilisées pour l’atteinte de finalités impactant la personne concernée, ou que les organismes fassent peser un risque sur des données n’étant plus nécessaires à l’atteinte de leurs objectifs, tout organisme traitant des données doit prévoir une durée de conservation (que l’on peut rapprocher d’une date limite de consommation) et supprimer ou anonymiser toute donnée la dépassant.

L’organisme traitant les données personnelles doit les protéger des atteintes extérieures (piratage par exemple) et intérieures (traitement non-autorisé) en mettant en oeuvre des mesures de sécurité organisationnelles et techniques.

Ces mesures de sécurité doivent être suffisantes pour garantir l’intégrité (absence de modifications ou suppressions non-désirées) et la confidentialité (absence d’accès non-désirés) des données.