Mesures techniques et organisationnelles connexes
Home » RGPD » Principes » Limitation de l’objet » Mesures techniques et organisationnelles connexes

On trouvera ci-après des exemples de mesures techniques et organisationnelles à l’appui de la limitation des objectifs :

  • Une spécification claire et précise des finalités initiales et potentiellement compatibles est une condition préalable à tout raisonnement sur la séparation des finalités.
  • Il est important de comprendre la protection des données comme un processus qui comprend des examens réguliers tout au long du cycle de vie de l’activité de traitement pour éviter de traiter des données à des fins incompatibles, par exemple en raison d’unedérive fonctionnelle. Il convient de noter qu’un examen régulier est obligatoire dans le cadre de la protection des données dès la conception (article 25, paragraphe 1 du RGPD), des évaluations d’impact sur la protection des données (article 35, paragraphe 11 du RGPD) et de la sécurité (article 32, paragraphe 1, point d) du RGPD).
  • La vérification de la compatibilité des finalités conformément à l’art. 6(4) peut être considérée comme une mesure organisationnelle à l’appui de la limitation des finalités.
  • L’analyse de la manière dont le personnel autorisé peut utiliser les données personnelles à d’autres fins est une autre mesure organisationnelle. Cette analyse vise à identifier les motivations et les conflits d’intérêts possibles (par exemple, le personnel traitant les données de parents et de connaissances), ainsi que les mesures permettant d’éviter[1] ou d’atténuer ces situations (par exemple, la possibilité pour un employé de signaler un conflit d’intérêts pour un cas donné et de le transmettre à un autre employé sans conflit d’intérêts).
  • Une autre mesure consiste à analyser les motivations que les attaquants externes peuvent avoir pour obtenir les données à d’autres fins. Il s’agit d’une partie importante de l’évaluation des risques et d’une condition préalable à la mise en œuvre de mesures de protection adéquates à l’appui de la limitation de la finalité.
  • Toute mesure organisationnelle ou technique visant à mettre en œuvre la séparation entre des activités de traitement distinctes exercées par le même responsable du traitement va directement dans le sens de la limitation de la finalité.
  • Toute mesure (telle que le cryptage) en faveur de la confidentialité empêche les parties non autorisées d’utiliser les données à des fins illégitimes.
  • Toute mesure visant à garantir que le personnel autorisé n’agit que sur instruction et selon les instructions du responsable du traitement (voir art. 29 et 32(4) du RGPD) garantit que le traitement ne va pas au-delà de ce qui est nécessaire pour réaliser les finalités spécifiques.
  • La pseudonymisation est une mesure secondaire qui atténue les dommages après une violation. La possibilité considérablement réduite d’identifier les personnes concernées et de les relier à d’autres ensembles de données peut, dans de nombreux cas, empêcher efficacement l’utilisation des données divulguées à d’autres fins.

 

  1. Un autre exemple pour prévenir les conflits d’intérêts est celui d’une grande entreprise qui traite les données dans des bureaux éloignés des personnes concernées afin de réduire la probabilité que les employés traitent les données de leurs connaissances.

 

Aller au contenu principal