Entreprises et administration : Quelles type de données peut-on traiter et sous quelles conditions?

La RGPD au sein des entreprises et des administrations (question/réponse)

En naviguant sur la toile internet, je suis arrivé à découvrir le site de la commission européenne, là-bas y sont développer plusieurs types d'articles portant sur le RGPD. Voici l'un d'entre eux, parlant du type de données que l'on peut traiter et sous quelles conditions cela peut-être réalisé. Voici le lien de l'article.


Réponse

Le type et la quantité de données à caractère personnel qu'une entreprise/organisation peut traiter dépendent de la raison pour laquelle elles sont traitées (raison juridique utilisée) et du but dans lequel elles le sont. L'entreprise/organisation doit respecter plusieurs règles essentielles, notamment les suivantes:

  •     les données à caractère personnel doivent être traitées de manière licite et transparente, en garantissant la loyauté envers les personnes dont les données à caractère personnel sont traitées («licéité, loyauté et transparence»);
  •     il doit y avoir des finalités spécifiques pour traiter les données et l'entreprise/organisation doit indiquer ces finalités aux personnes concernées lorsqu'elle collecte leurs données à caractère personnel; une entreprise/organisation ne peut pas simplement collecter des données à caractère personnel pour des finalités non déterminées («limitation des finalités»);
  •     l'entreprise/organisation ne peut collecter et traiter que les données à caractère personnel qui sont nécessaires pour atteindre ces finalités («minimisation des données»);
  •     l'entreprise/organisation doit s'assurer que les données à caractère personnel sont exactes et tenues à jour au regard des finalités pour lesquelles elles sont traitées, et les corriger le cas échéant («exactitude»);
  •     l'entreprise/organisation ne peut plus utiliser les données à caractère personnel pour d’autres finalités qui ne sont pas compatibles avec la finalité pour laquelle elles ont été initialement collectées;
  •     l'entreprise/organisation doit s'assurer que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées («limitation de la conservation»);
  •     l'entreprise/organisation doit mettre en place des mesures techniques et organisationnelles appropriées qui garantissent la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de la technologie appropriée («intégrité et confidentialité»).

Exemple

Votre entreprise/organisation gère une agence de voyages. En recevant les données à caractère personnel de vos clients, vous devriez leur expliquer en des termes clairs et simples pourquoi vous avez besoin de ces données, comment vous les utiliserez et combien de temps vous entendez les garder. Le traitement devrait être personnalisé d’une manière qui respecte les principes fondamentaux de la protection des données.

Références

    Article 5, paragraphe 1, et considérant 39) du RGPD
    Groupe de travail «Article 29», Avis 03/2013 sur la limitation des finalités (WP 203)

 

 

Divers articles sur la RGPD qui pourrait vous intéresser...