📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 5 du RGPD : Principes relatifs au traitement des données à caractère personnel

Sommaire

Introduction 

La protection des données à caractère personnel est une préoccupation majeure dans le cadre de la réglementation européenne. 

L’article 5 du RGPD définit les principes fondamentaux qui encadrent le traitement des données, en précisant comment les collecter, les utiliser et les conserver de manière légale et sécurisée. 

Explication de l’article

Le RGPD a deux objectifs principaux :

  • Donner aux individus des droits sur leurs données personnelles.
  • Inciter les organismes à protéger ces données.

Pour atteindre ces objectifs, le RGPD impose des obligations aux responsables de traitement (qui décident pourquoi et comment les données sont utilisées) et aux sous-traitants (qui traitent les données pour le compte du responsable).

L’article 5 du RGPD fixe 7 principes clés pour guider la conformité et la protection des données :

Licéité, loyauté et transparence

    • Licéité : Les données ne peuvent être collectées que si une base légale existe (consentement, contrat, obligation légale, intérêt vital/public, ou intérêt légitime).
    • Loyauté : Les données doivent être utilisées de façon cohérente avec ce qui a été annoncé aux personnes.
    • Transparence : Les individus doivent être bien informés sur l’usage de leurs données et leurs droits.

Finalité
Les données doivent être collectées pour un objectif précis et légal. Les utiliser à d’autres fins peut entraîner des sanctions.

Minimisation
Ne collecter que ce qui est nécessaire. Par exemple, demander uniquement les informations essentielles lors de la création d’un compte.

Exactitude
Les données doivent être correctes et à jour. Les organismes doivent aussi protéger ces données contre tout accès non autorisé.

Durée de conservation
Les données ne doivent pas être conservées indéfiniment. La durée doit être définie à l’avance (ex. : fin du contrat ou désabonnement). Après, elles doivent être supprimées ou anonymisées.

Sécurité
Les entreprises doivent protéger les données contre toute fuite, vol ou altération avec des mesures techniques, organisationnelles ou physiques.

Responsabilité (Accountability)
Les organismes doivent pouvoir prouver qu’ils respectent le RGPD. Cela passe par la documentation de tous les traitements de données (registre de traitements), incluant : qui est concerné, quelles données, pourquoi, combien de temps, et quelles mesures de sécurité sont mises en place.

En résumé, le RGPD oblige à limiter, sécuriser et documenter l’usage des données personnelles tout en respectant les droits des individus

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 4

Les données à caractère personnel doivent être :

1° Traitées de manière licite, loyale et, pour les traitements relevant du titre II, transparente au regard de la personne concernée ;

2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, applicables à de tels traitements et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;

3° Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives ;

4° Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;

5° Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Toutefois, les données à caractère personnel peuvent être conservées au-delà de cette durée dans la mesure où elles sont traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Le choix des données conservées à des fins archivistiques dans l’intérêt public est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine ;

6° Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 6

1. Les États membres prévoient que les données à caractère personnel doivent être:

a) traitées loyalement et licitement;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;

d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1.

Analyse des 3 textes qui précèdent 

L’article 5 du RGPD reprend et précise les principes fondamentaux déjà présents dans la Directive 95/46/CE et la Loi Informatique et Libertés. Il s’agit de principes généraux encadrant tout traitement de données personnelles.

Licéité, loyauté et transparence
Le RGPD complète le principe de licéité et de loyauté par un principe de transparence, exigeant que toute information adressée au public soit claire, compréhensible et facilement accessible, notamment sur l’identité et les finalités du traitement (articles 12 et suivants). La directive et la loi prévoyaient déjà la licéité et la loyauté ainsi qu’une obligation d’information, mais la notion de transparence est beaucoup plus explicite dans le RGPD.

Finalité 
Le RGPD confirme que les données doivent être collectées pour une finalité déterminée, explicite et légitime, et interdit leur traitement ultérieur pour une finalité incompatible. Une exception est prévue pour l’archivage dans l’intérêt public et pour la recherche historique, statistique ou scientifique, à condition de respecter l’article 89. La directive et la loi française reconnaissaient déjà cette interdiction, mais le RGPD précise davantage les conditions et élargit la possibilité d’archivage ou de recherche.

Minimisation des données
Le RGPD introduit le principe de minimisation, selon lequel seules les données strictement nécessaires à la finalité peuvent être traitées (article 5.1.c). La directive parlait de données « non excessives », ce qui était moins précis, et la loi française a transposé ce principe sous la forme d’une règle de proportionnalité. Le RGPD rend cette exigence plus opérationnelle et mesurable.

Exactitude et qualité des données

Le RGPD insiste sur l’exactitude et la mise à jour des données. La directive et la loi française prévoyaient déjà que les données doivent être exactes et complètes, mais le RGPD formalise davantage l’obligation d’effacement ou de rectification des données inexactes.

Durée de conservation
Selon le RGPD, les données ne doivent pas être conservées au-delà de la durée nécessaire à la finalité, avec exceptions possibles pour l’archivage ou la recherche sous conditions techniques et organisationnelles (article 5.1.e). La directive et la loi française prévoyaient déjà ce principe, mais le RGPD le formalise avec davantage de détails sur les mesures à prendre.

Sécurité et intégrité
Le RGPD consacre un principe de sécurité et de confidentialité des données, obligeant le responsable à prévenir les accès et usages non autorisés (article 5.1.f). La directive et la loi française prévoyaient déjà cette obligation, mais le RGPD renforce l’importance de mesures techniques et organisationnelles adaptées.

Responsabilité (accountability)

Le RGPD introduit explicitement le principe de responsabilité, exigeant que le responsable puisse démontrer la conformité de ses traitements (articles 5.2 et 24). Ce principe est nouveau par rapport à la directive et à la loi française, qui ne prévoyaient pas d’obligation formelle de démonstration de conformité. Il implique la mise en place de procédures internes, d’audits et de mécanismes de contrôle pour garantir la conformité.

En résumé, le RGPD ne bouleverse pas les principes de base mais les affine : il renforce la transparence, la minimisation des données, la responsabilité du responsable et précise les conditions d’archivage et de conservation, rendant ces obligations plus opérationnelles et contrôlables.

Jurisprudences 

Françaises 

Cass. Fr., n° 22-23.639 (9 avril 2025)

Il s’agit d’une décision de principe concernant la communication de documents contenant des données personnelles. La Cour de cassation rappelle que le juge doit respecter le principe de minimisation des données (article 5 RGPD) et vérifier la proportionnalité entre le droit à la preuve et la protection de la vie privée des personnes concernées.

CEGEDIM santé  – Manquement à l’obligation de licéité (article 5.1.a RGPD)

Sanction de 800 000 euros d’amende : La formation restreinte a estimé que CEGEDIM SANTÉ avait enfreint l’article 5.1.a du RGPD dans l’usage du téléservice HRi de l’Assurance Maladie, qui permet de consulter l’historique des remboursements de santé sur 12 mois.

Lorsqu’un médecin de « l’observatoire » consultait ces données, elles étaient automatiquement téléchargées dans le dossier patient, ce qui permettait aussi leur collecte par la société. Comme aucune option ne permettait de simplement consulter les données sans les collecter, la société n’a pas traité les données de manière licite.

Surveillance des salariés : la CNIL sanctionne AMAZON FRANCE LOGISTIQUE

Sanction de 32 millions d’euros d’amende : La CNIL a relevé plusieurs manquements au RGPD concernant l’utilisation de scanners pour suivre l’activité des salariés dans les entrepôts :

Manquement au principe de minimisation 

    • La société collectait des données trop détaillées sur les salariés (activités, temps d’inactivité, erreurs au scan) alors que des données agrégées ou en temps réel suffisaient pour gérer les stocks, planifier le travail, évaluer ou former les salariés.
    • Le traitement était excessif pour atteindre les objectifs poursuivis.

Manquement à la licéité du traitement : Trois indicateurs spécifiques ont été jugés illégaux car trop intrusifs :

  • Stow Machine Gun : suit chaque rangement à la seconde près et signale les erreurs “trop rapides”.
  • Idle Time et temps de latence < 10 min : suivent en permanence les interruptions du scanner.

Ces traitements dépassaient l’intérêt légitime de la société et constituaient une surveillance excessive des salariés.

Décision de la CNIL du 18 novembre 2020 – Carrefour Banque

Sanction de 800 000 euros d’amende pour Carrefour Banque : À l’issue d’un contrôle, la CNIL a relevé plusieurs manquements de la part de Carrefour Banque. En particulier, l’autorité rappelle un principe clé de l’article 5 du RGPD : l’obligation de loyauté dans le traitement des données. Carrefour Banque transmettait des informations personnelles à Carrefour France sans en informer les personnes concernées. La CNIL a jugé cette pratique déloyale, et donc non conforme au RGPD. 

Européennes : 

C-446/21 (4 octobre 2024) – Schrems (Communication de données au grand public)

L’arrêt C-446/21 du 4 octobre 2024, rendu par la Cour de justice de l’Union européenne (CJUE) dans l’affaire Schrems, aborde plusieurs aspects de l’article 5 du Règlement général sur la protection des données (RGPD), notamment les principes de limitation des finalités (article 5.1.b) et de minimisation des données (article 5.1.c).

Un utilisateur de Facebook, a constaté l’apparition régulière de publicités ciblées liées à l’orientation sexuelle sur son profil, alors qu’il n’avait jamais partagé cette information sur la plateforme. Il a donc contesté le traitement de ses données personnelles par Meta Platforms Ireland Ltd, l’entreprise responsable de Facebook en Irlande.

Points clés de la décision

  • Limitation des finalités (article 5.1.b du RGPD) : La CJUE a jugé que les données personnelles ne peuvent être utilisées à des fins autres que celles pour lesquelles elles ont été collectées, sauf si le traitement ultérieur est compatible avec les finalités initiales.
  • Minimisation des données (article 5.1.c du RGPD) : La Cour a souligné que le traitement des données doit être limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Elle a estimé que la collecte et le traitement extensifs de données personnelles à des fins de publicité ciblée, sans limitation temporelle ou en fonction de la nature des données, contreviennent au principe de minimisation des données.
  • Données sensibles : La CJUE a précisé que le fait qu’une personne rende publique une donnée sensible, comme son orientation sexuelle, ne justifie pas le traitement d’autres données sensibles non rendues publiques à des fins de publicité ciblée.

L’arrêt C-446/21 est une décision de la CJUE qui ne concerne pas directement une sanction à l’encontre de Meta Platforms Ireland Ltd. Cependant, cette décision a des implications importantes pour la conformité des pratiques de traitement des données personnelles par les entreprises, en particulier en ce qui concerne la publicité ciblée

Recommandations

CNIL 

Guide pratique sur les durées de conservation (Juillet 2020)

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des activités commerciales (février 2022)

Recommandation relative aux applications mobiles (mars 2025)

CEPD 

Lignes directrices sur le traitement des données à caractère personnel par des dispositifs vidéo – 3/2019 (29 janvier 2020)

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 – wp250rev.01 (6 février 2018)

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.