Description des principes de base du RGPD.

📑 Définitions

Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée directement(exemple: nom et prénom) ou indirectement (exemple: par un numéro de téléphone, un identifiant tel que le numéro de sécurité sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée à partir d’une seule donnée (exemple: nom), à partir du croisement d’un ensemble de données (exemple: une femme vivant à telle adresse, née tel jour et membre dans telle association).

<aside> ✅ Plusieurs acteurs interviennent lors du traitement de ces données:

</aside>

Le responsable de traitement, ou le co-responsable: c’est celui qui détermine les finalités (pourquoi) et les moyens (comment) du traitement de données réalisé;
Le sous-traitant: c’est celui qui réalise un traitement de données pour le compte du responsable de traitement, selon ses instructions et sous son autorité;
La personne concernée: c’est celle dont les données sont traitées.

🔏 Principes et obligations générales du responsable de traitement

1) La base légale du traitement

L’article 6 du RGPD impose à chaque traitement une «base légale», c’est-à-dire une justification juridique qui « autorise » le responsable de traitement à traiter les données en question.

<aside> ✅ Il existe au total six bases légales différentes:

</aside>

le consentement des personnes;
un contrat ;
une obligation légale ;
la sauvegarde d’intérêts vitaux ;
un intérêt légitime (qui s’applique difficilement aux personnes publiques);
un intérêt public.

Contrairement à une idée reçue, le consentement des personnes concernées n’est donc pas l’alpha et l’oméga d’un traitement de données, et encore moins pour les personnes publiques remplissant leurs missions de service public. Dès lors, lorsque le traitement se base sur un intérêt public, il est inopportun de demander « l’accord » des personnes concernées pour traiter leurs données.

Logiquement, celles-ci ne pourront pas non plus « retirer » cet accord, qu’elles n’ont donc jamais donné.

2) Les finalités du traitement

Le responsable de traitement doit déterminer en amont, selon l’article 5 du RGPD, les finalités du traitement de données mis en place, c’est-à-dire les objectifs poursuivis par celui-ci. Elles doivent être compatibles avec les missions du responsable de traitement, et doivent être claires, compréhensibles et surtout limitées.

<aside> ✅ La définition d’une finalité doit intervenir durant la phase de conception du projet.

Le responsable de traitement doit se demander:

</aside>

Quel est le but de mon fichier ? (à quoi va-t-il servir ?)
Est-ce légitime, notamment au regard de mes missions et des droits et libertés des personnes
Comment présenter cette finalité pour la rendre compréhensible par tous ? A noter qu’il est strictement interdit de traiter les données collectées pour des finalités différentes de celles initialement prévues (le détournement de finalités est une infraction pénale).

3) les principes liées aux données

Minimisation

Le principe de minimisation des données impose au responsable de traitement de ne traiter uniquement les données strictement nécessaires aux finalités qu’il a déterminé en amont. Ainsi, pour chaque donnée collectée, le responsable de traitement doit se demander si celles-ci sont adéquates, pertinentes et limitées au regard des finalités de son traitement de données.

Durée de conservation

Le responsable de traitement doit déterminer, pour chaque catégorie de données, un délai maximum de conservation (et parfois minimum). Ce délai est soit fixé par la loi (par exemple, des données à caractère personnel collectées via des cookies sur un site web doivent être conservées 13 mois maximum), soit fixé par le responsable de traitement lui-même. Le cas échéant, il doit définir un délai de conservation en fonction des objectifs poursuivis par le traitement des données, c’est-à-dire de ses finalités.