News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik
loi-rgpd

RGPD : la loi en 7 grands principes

Table des matières

Le RGPD qu’on ne présente plus, règlement européen ayant donc valeur de loi en France, est fondé sur un ensemble de grands principes dont découle toute la logique du texte. Plus précisément, on peut dégager 7 grands principes, qui se trouvent à l’article 5 de la loi. Explicitement, le texte définit 6 grands principes (article 5.1) mais l’article 5.2 permet d’inclure un 7e élément très important pour les entreprises agissant en France et en Europe. 


Ces principes régissent la manière dont les entreprises doivent collecter, traiter ou manipuler les données personnelles des utilisateurs. 


Tour d’horizon des 7 grands principes que les Délégués à la Protection des Données ou les responsables de la conformité des entreprises doivent connaître par cœur. 


Et puisqu’il est toujours bon de se référer à la lettre du texte, voici un lien vers le texte de l’article 5 du RGPD


Licéité, loyauté et transparence : premier principe de la loi RGPD


Ce principe signifie que les données personnelles doivent être traitées en respectant les 3 critères : 


La licéité du traitement n’est validé qu’en respect d’un des 6 critères prévus par le texte de la loi RGPD (plus précisément dans l’article 6).


Le terme de loyauté peut paraître étrange. Tout simplement, cela signifie que l’entreprise doit effectivement traiter la donnée comme elle l’a annoncé à la personne concernée. 


Enfin, le principe de transparence dispose que l’entreprise doit énoncer clairement à la personne qu’elle fait l’objet d’un traitement de données, comment et pourquoi, sans rien lui cacher. 


rgpd loi

Principe RGPD n°2 : la limitation des finalités


L’article 5.1 du RGPD, dans son deuxième point, impose la limitation des finalités aux entreprises qui traitent les données personnelles des européens. Ainsi, tout traitement doit répondre à une finalité précise. Rappelons que la définition du traitement des données est très large et recouvre à la fois la collecte, la sauvegarde, la consultation ou la manipulation des données. 


Tout enregistrement de donnée doit donc se faire dans un but précis et bien déterminé, qui doit être explicite aux yeux de la personne concernée et légitime. Ce dernier point signifie que la finalité doit avoir un rapport avec l’activité de votre entreprise, du service que vous rendez à la personne ou éventuellement rentrer dans le cadre de l’intérêt général. 


3e principe du RGPD : la minimisation des données 


La minimisation des données utilisé par le RGPD est une loi de proportionnalité : la collecte et le traitement doivent suivre une finalité, mais doivent en plus y être proportionnels. Selon les mots du texte, elle doit être “adéquate, pertinente et limitée à ce qui est nécessaire” au regard des objectifs poursuivis. 


En clair, vous ne devez collecter que les données dont vous avez besoin pour remplir l’objectif fixé. Si vous avez besoin de récupérer d’autres informations de vos utilisateurs ou clients c’est que la finalité avancée n’est pas la bonne ou qu’il y en a plusieurs. 


Prenons un exemple précis. Un visiteur sur votre site web s’abonne à votre newsletter : bonne nouvelle ! Pour pouvoir lui rendre ce service, vous aurez besoin de certaines informations : avant tout une adresse email, éventuellement un prénom ou un nom pour personnaliser vos emails. En règle générale, vous n’aurez besoin de rien d’autre. Si vous récoltez d’autres données comme son adresse postale sans justification valable, alors vous rompez le principe de minimisation de la donnée. 


Exactitude des données personnelles recueillies 


Les données personnelles collectées doivent être exactes et à jour. Cela signifie qu’il revient au responsable de traitement de s’assurer que le jeu de données est récent et vérifié régulièrement, pour que des informations obsolètes ne s’y glissent pas. 


A noter qu’on peut rapprocher ce principe du droit d’accès qui est un droit réservé aux personnes concernées qui peuvent à tout moment accéder aux données les concernant et éventuellement les faire modifier par l’entreprise. 


Durée de conservation des données : principe de limitation dans le RGPD


Une fois les données collectées, vous ne pouvez pas les conserver éternellement ! 


Les règles spécifiques encadrant la durée de conservation des données ne sont pas précisées dans l’article 5 et il faut aller consulter le texte un peu plus profondément pour bien les comprendre. 


Sans entrer ici dans les détails, rappelons que la donnée connaît ce qu’on appelle un “cycle de vie” qui comporte trois phases : 


La première est la conservation en base active de la donnée : elle est facilement disponible parce qu’elle est utile immédiatement. Vous venez de la collecter, par exemple. La limitation de la durée de conservation des données est en général de 3 ans pour cette phase mais peut varier fortement en fonction des cas. 


La deuxième phase n’est pas toujours présente et concerne l’archivage intermédiaire de la donnée. Celle-ci est déplacée dans une base de données séparée à laquelle seules certaines personnes habilitées peuvent avoir accès. Elle sert notamment à répondre à certaines obligations de la loi en matière de conservation de documents (par exemple, documents de facturation). 


Enfin, certaines données peuvent être anonymisées et conservées définitivement. Cependant, il faut évaluer au cas par cas que la valeur de la donnée est suffisante pour l’entreprise pour justifier cette conversation. 


loi rgpd

Principe n° 6 de la loi RGPD : intégrité et confidentialité 


Ce principe concerne les mesures de sécurité que doivent adopter les entreprises pour protéger les données qui leur sont confiées. Les données personnelles doivent rester confidentielles. 


Pour éviter de porter atteinte à la vie privée des personnes, on peut citer deux grandes catégories de mesures. La première vise à protéger la donnée pour éviter une fuite ou un vol. Il peut s’agir pour des données physiques de les stocker dans une salle fermée à clé, par exemple. Des mesures de cybersécurité viennent également protéger les données stockées de façon numérique. 


La deuxième catégorie de mesures vise à limiter la portée d’une fuite ou d’un vol, si l’événement survient. C’est le cas du chiffrement de la donnée, de sa pseudonymisation ou de son anonymisation, trois méthodes qui visent à rendre le jeu de données inutilisable et les personnes concernées non identifiables en cas de faille de sécurité. 


Principe n°7 : la responsabilité 


On l’a dit, ce principe ne rentre pas dans l’article 5.1 de la loi RGPD mais fait l’objet du point 5.2. Il s’agit du principe d’accountability ou de responsabilité en français qui impose aux entreprises d’être à tout moment en mesure de justifier qu’elles respectent le RGPD. 


Autrement dit, c’est aux entreprises de décider des bonnes mesures de sécurité à mettre en place, de s’assurer elles-mêmes qu’elles sont bien conformes à la loi. C’est ce principe qui évite par exemple un régime d’autorisation préalable qui serait ingérable en pratique. C’est aussi à lui que l’on doit la documentation juridique à produire pour prouver à la CNIL le bon respect de la conformité. Heureusement, des logiciels de conformité RGPD sont là pour vous aider dans cette tâche ! 

Partager l'article