Mesures techniques et organisationnelles connexes
Home » RGPD » Principes » Licéité, loyauté et transparence » Mesures techniques et organisationnelles connexes

Des exemples de mesures visant à mettre en œuvre différents aspects du principe sont fournis ci-après.

Légitimité et licéité

  • Au moins lorsque la vérification et la démonstration de la légitimité nécessitent des étapes formelles, celles-ci peuvent être considérées comme des mesures organisationnelles de soutien à la légitimité. La demande et l’approbation de certaines recherches médicales par le comité d’éthique de la recherche compétent en sont un bon exemple.
  • La spécification d’objectifs explicites est une condition préalable à l’évaluation de la légitimité et de la licéité. Cette condition peut être considérée comme une mesure en soi, en particulier lorsqu’elle s’accompagne de réflexions sur la manière de rendre la spécification aussi spécifique et étroite que possible. Dans ce cas, une telle analyse peut également être considérée comme faisant partie de cette mesure.
  • La principale mesure à l’appui de la licéité consiste à identifier une ou plusieurs bases légalesde l’art. 6(1) duRGPD. Dans de nombreux cas, une activité de traitement utilise plusieurs bases légales. Un cas d’utilisation[1] publié par le Data Privacy Vocabulary Community Group du W3C fournit un exemple facilement accessible.
  • Lorsque l’art. 6, paragraphe 1, point a) du RGPD, c’est-à-dire le consentement, a été choisi comme base légale, une analyse qui justifie que les exigences strictes du RGPDen matière de consentement (librement donné et éclairé) ontété respectées est une mesure importante. Il peut s’agir, par exemple, de vérifier si les informations fournies comme base du consentement sont effectivement compréhensibles pour les personnes concernées et si le retrait du consentement est effectivement aussi facile que de le donner.
    • En outre, lorsque des enfants ou d’autres personnes vulnérables sont concernés, cette analyse doit mettre l’accent sur les garanties relatives à l’art. 7 duRGPD.
  • Lorsque l’art. 6, paragraphe 1, point f)du RGPD, c’est-à-dire le consentement légitime du responsable du traitement, a été choisi comme base légale, les mesures comprennent une spécification précise des intérêts légitimes, ainsi qu’un test de mise en balance (voir la section du même nom dans “Principaux outils et actions” de la partie II des présentes lignes directrices) pour vérifier que ceux-ci prévalent effectivement sur les intérêts, les droits et les libertés des personnes concernées.
  • Quelle que soit la base légale, lorsque les responsables du traitement ont l’intention de traiter certaines données plus avant, au-delà des finalités initiales, à des fins compatibles (voir l’art. 5(1)(b) du RGPD), l’analyse fondée sur les critères de l’art. 6(4) pour démontrer que ces finalités supplémentaires sont effectivement compatibles, est une mesure qui démontre la licéité de ce traitement.
  • Si des catégories particulières de données (c’est-à-dire des données sensibles), ou des données relatives à des condamnations pénales, sont traitées, des mesures supplémentaires doivent être prises en plus de celles relatives à l’art. 6(1) du RGPD. En particulier, dans le premier cas, la condition de l’art. 9(2) du RGPD, pour laquelle une exception à l’interdiction de traiter des données sensibles s’applique, doit être trouvée et documentée. Dans le second cas, les conditions qui rendent le traitement admissible conformément à l’art. 10 du RGPD doivent être mises en œuvre et documentées.

Loyauté

  • Comme cela a été expliqué ci-dessus, toutes les exigences du RGPD peuvent être considérées comme une question de loyauté ; plusieurs droits des personnes concernées ont toutefois été présentés comme particulièrement pertinents. Les principales mesures en faveur de la loyauté sont donc une mise en œuvre adéquate des droits des personnes concernées.

Transparence

  • La mise en œuvre des exigences des art. 12 à 14 du RGPD pour fournir des informations adéquates et facilement compréhensibles aux personnes concernées est une mesure primordiale pour soutenir la transparence.
  • Il en va de même pour les documents préparés pour informer les autorités de contrôle, en particulier les registres de traitement (conformément à l’article 30 du RGPD) et une analyse d’impact sur la protection des données (conformément à l’article 35 du RGPD). Une autre mesure est la publication partielle de cette analyse d’impact.
  • Toute analyse qui évalue l’efficacité et l’accessibilité des informations fournies – éventuellement en ce qui concerne des catégories particulières de personnes concernées comme les enfants – peut être considérée comme une mesure en soi.
  • La nomination d’un délégué à la protection des données peut en partie être considérée comme une mesure visant à accroître la transparence tant à l’égard des personnes concernées que de l’autorité de contrôle.

 

  1. Bruegger, Schlehahn & Zwingelberg, Data Privacy Vocabulary Community Group, Data Protection Aspects of Online Shopping – A Use Case, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (dernière visite le 25/05/2020).

 

Aller au contenu principal