Article 5 du RGPD : Principes relatifs au traitement des données à caractère personnel
Sommaire
Comprendre l’article 5
Un traitement de données personnelles désigne toute opération appliquée à des données permettant d’identifier une personne : collecte, utilisation, conservation, transmission, etc. L’article 5 du RGPD énonce les principes fondamentaux qui doivent guider toute mise en œuvre d’un traitement de données à caractère personnel :- Licéité, loyauté et transparence : le traitement doit reposer sur une base légale claire, être mené de manière équitable à l’égard des personnes concernées, et faire l’objet d’une information transparente (finalité, durée, responsable, etc.).
- Limitation des finalités : les données ne doivent être collectées que pour des objectifs définis, explicites et légitimes. Leur réutilisation pour des finalités différentes est interdite, sauf exception prévue par la loi.
- Minimisation des données : seules les données strictement nécessaires à la finalité du traitement doivent être collectées. On ne collecte pas « au cas où ».
- Exactitude des données : les données doivent être exactes, à jour et corrigées si besoin. Le responsable de traitement doit permettre aux personnes concernées de les rectifier.
- Limitation de la durée de conservation : les données ne doivent pas être conservées au-delà de ce qui est nécessaire au regard des finalités. Certaines durées sont encadrées par la CNIL (par exemple : 2 ans maximum pour des candidatures non retenues).
- Intégrité et confidentialité : le traitement doit être sécurisé, de manière à garantir la protection des données contre tout accès non autorisé, perte ou altération.
Article 5 du RGPD
- « Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
- Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »