Bud P. Bruegger (ULD)
Remerciements : L’auteur tient à remercier Giuseppe D’Acquisto, conseiller technologique principal de l’autorité italienne de protection des données (Garante per la Protezione dei Dati Personali), pour sa révision et ses suggestions. |
Cette section des lignes directrices a été validée par José Luis Piñar, ancien président de l’Agence espagnole de protection des données et actuellement Cátedra Google on Privacy, Society and Innovation Universidad CEU-San Pablo, Madrid.
La section “Comprendre la protection des données : le règlement européen en quelques mots” ci-dessus a donné un aperçu du RGPD. Elle a donc également introduit les principes de la protection des données, tels qu’ils figurent au chapitre 2 “Principes” du RGPD et, en particulier, à l’art. 5 “Principes relatifs au traitement des données à caractère personnel”. Si Comprendre la protection des données : le règlement européen en quelques motsa choisi une structure qui motive le contenu du RGPD en termes de pouvoir, la présente section suit la structure de l’art. 5 duRGPD. Elle examine chaque principe de manière plus détaillée.
Les principes expriment la structure suivante :
- Conditions relatives aux finalités du traitement : Le type de finalités poursuivies par le traitement des données à caractère personnel qui sont autorisées est décrit à l’art. 5(1)(a) et 5(1)(b) du RGPD. Le traitement de données personnelles à des fins qui ne satisfont pas à ces conditions n’est pas autorisé. Ces conditions sont :
- Licéité(article 5, paragraphe 1, point a) du RGPD) ;
- Légitimité (art. 5(1)b) du RGPD).
- Conditions de mise en œuvre du traitement : Lorsque la finalité répond aux critères ci-dessus, pour être autorisée, la mise en œuvre du traitement doit en outre répondre à certaines conditions. Celles-ci sont décrites à l’art. 5(1)(a) à 5(1)(f), à savoir la mise en œuvre :
- doit être loyal(article 5, paragraphe 1, point a) du RGPD) ;
- doit être transparente (article 5, paragraphe 1, point a) du RGPD) ;
- doit être limitée aux fins indiquées(article 5, paragraphe 1, point b) du RGPD) ;
- doit utiliser le minimum de données nécessaires aux fins poursuivies (article 5, paragraphe 1, point c) du RGPD) ;
- ne doit utiliser que des données exactes (article 5, paragraphe 1, point d) du RGPD) ;
- doit utiliser le degré minimal d’identification des personnes concernées qui est nécessaire aux fins (article 5, paragraphe 1, point e) du RGPD) ;
- doivent être sécurisées (article 5, paragraphe 1, point f) du RGPD).
En outre, conformément à l’art. 5(2) du RGPD, pour les responsables du traitement, se conformer au RGPD signifie que leur traitement :
- satisfait à toutes les conditions ci-dessus et
- les responsables du traitement sont capables de le démontrer.
Pour aider les lecteurs à comprendre le RGPD, la discussion détaillée des principes ci-dessus utilise la structure prévue par la loi. Cela signifie qu’un point du RGPD est discuté à la fois. Chaque point de l’Art. 5(1) et de l’Art. 5(2) est alors appelé un principe. Le nom du principe prévu par le RGPD correspond aux titres utilisés pour les sections suivantes. Dans certains cas, plusieurs des conditions énoncées ci-dessus s’intègrent dans un seul principe.
Il existe deux exceptions à la structuration de la discussion suivante par paragraphe de l’art. 5 du RGPD. Elles sont motivées par une clarté accrue et traitent des déclarations fournies dans un paragraphe du RGPD sous le principe (c’est-à-dire le sens principal) fourni dans un autre paragraphe. À savoir, les exceptions sont les suivantes :
- l’exigence selon laquelle les finalités doivent être spécifiques, explicites et légitimes (prévue à l’article 5, paragraphe 1, point b) du RGPD) est examinée conjointement avec la licéité, la loyauté et la transparence (prévues à l’article 5, paragraphe 1, point a) du RGPD), et
- la déclaration relative à la durée de conservation se rapportant à certains types de traitement (prévue à l’art. 5(1)(e) duRGPD) est discutée avec la minimisation des données (de l’Art. 5(1)(c) du RGPD) puisqu’on peut soutenir que la période de conservation est pertinente pour que les données soient (temporairement) “limitées à ce qui est nécessaire au regard des finalités“.
Le tableau suivant donne un aperçu de la manière dont les principes sont liés aux lettres de l’article 5 du RGPD.
Art. 5(1)(a) | Art. 5(1)(b) | Art. 5(1)(c) | Art. 5(1)(d) | Art. 5(1)(e) | Art. 5(1)(f) | Art. 5(2) | |
Légitimité et licéité | |||||||
Loyauté | |||||||
Transparence | |||||||
Limitation de la finalité | |||||||
Minimisation des données | |||||||
Précision | |||||||
Limitation du stockage (minimisation du potentiel d’identification) | |||||||
Intégrité et confidentialité | |||||||
Responsabilité |
La discussion de chaque principe est structurée comme suit :
- Une description abstraite du principe,
- une brève discussion des articles et des considérants du RGPDqui permettent d’approfondir la compréhension du principe, et
- des exemples de mesures techniques ou organisationnelles concrètes qui peuvent être utilisées pour mettre en œuvre le principe.
La description tente de saisir l’essence du principe. La section sur les articles et considérants connexes indique les endroits du RGPD qui décrivent plus en détail comment le principe doit être appliqué concrètement. Cette section peut être parcourue rapidement lors d’une première lecture et faire l’objet d’une consultation lorsqu’une compréhension plus approfondie est souhaitée. La section sur les mesures fournit une liste non exhaustive d’exemples de la manière dont chaque principe peut être mis en œuvre dans la pratique.
Le reste de ce chapitre décrit les principes énumérés à l’art. 5 du RGPD en utilisant la structure décrite.