Les principes relatifs au traitement des données à caractère personnel sont posés à l’article 5 du RGPD ( Voir Qu’est-ce que le RGPD ). Ils sont classés en 6 grandes catégories. Ils sont parfois rédigés dans des termes génériques. En outre, ils souffrent souvent de précision notamment, sur certains seuils pour leur mise en œuvre. L’on ne sait pas toujours à quel niveau placé le curseur d’un principe à un autre, même si, les “considérants” du RGPD permettent parfois de déceler les attentes du législateur européen. Il s’agit, sans doute, d’une possibilité laissée aux Etats membres et aux institutions compétentes ( les autorités de contrôle, par exemple la CNIL pour la France) en matière de protection des données de les adapter à travers des textes plus explicites et précis.
1. Le premier principe relatif au traitement des données à caractère personnel
Ce principe regroupe à la fois la licéité, la loyauté et la transparence des traitements. La licéité consiste au fait que le traitement se fonde sur l’une des bases légales prévues par le RGPD. L’article 6 dispose que le traitement n’est licite que si au moins une des conditions posées par ladite disposition est remplie notamment, le consentement de la personne concernée par le traitement, la nécessité soit du traitement pour l’exécution d’un contrat auquel la personne concernée est partie, soit pour le respect d’une obligation légale à laquelle le responsable du traitement est soumis, soit pour la sauvegarde des intérêts vitaux de la personne concernée, soit à l’exécution d’une mission d’intérêt public, soit le traitement est fait aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers. Dans le dernier cas, une balance doit être faite avec les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités ( considérant 60 du RGPD). Ces notions sont difficiles à contextualiser, mais au fil des décisions de la CNIL, on en aperçoit mieux le sens.
2. Le deuxième principe relatif au traitement des données à caractère personnel
Il exige la limitation des finalités de traitement. Les données doivent donc être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Sauf si, le traitement ultérieur est fait à des fins archivistiques dans l’intérêt public, ou à des fins de recherche scientifique ou historique, ou encore à des fins statistiques.
3. Le troisième principe relatif au traitement des données à caractère personnel
Ce principe exige de minimiser les données traitées. Il faudra que les données traitées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
4. Le quatrième principe relatif au traitement des données à caractère personnel
Ce principe concerne l’exactitude des données traitées. Elles doivent être exactes et, si nécessaire, tenues à jour. Ainsi, les données inexactes doivent être effacées ou rectifiées.
5. Le cinquième principe relatif au traitement des données à caractère personnel
Ce principe exige une limitation de la conservation des données. Les données ne doivent pas être conservées plus longtemps que le temps nécessaire pour satisfaire aux finalités pour lesquelles elles ont été sollicitées. Sauf, si le responsable de traitement souhaite archiver les données dans le respect des durées fixées par la législation en vigueur.
6. Le sixième principe relatif au traitement des données à caractère personnel
Le dernier principe impose que les données soient traitées de façon à garantir une sécurité appropriée des données à caractère personnel tout en assurant l’intégrité et la confidentialité des données. Ce principe constitue l’une des obligations essentielles du texte européen.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
- Délibération SAN-2021-016 du 24 septembre 2021 de la CNIL: Rappel à l’ordre et injonction concernant le ministère de l’intérieur pour manquement à la licéité du traitement, à la durée de conservation, à l’exactitude des données, au défaut de sécurité des données et au défaut d’information des personnes.
- Délibération SAN-2021-012 du 26 juillet 2021 dans laquelle la CNIL a sanctionné une entité pour le défaut d’information des personnes
- Voir la délibération SAN-2022-015 du 7 juillet 2022 dans laquelle la CNIL a sanctionné une entité pour le non respect du principe de minimisation des données et autres
