Fil d'actualité Protection des données personnelles

Protection des données personnelles

Centre national de la recherche scientifique

Accueil du sitePrincipes7 principes de la protection des données

7 principes de la protection des données

Page publiée le 28 juin 2018

 1. Le principe de finalité

Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement, responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.

 2. Le principe de proportionnalité

Seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité.

 3. Le principe de pertinence des données

Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.

 4. Le principe de durée limitée de conservation des données

C’est ce que l’on appelle le droit à l’oubli.

Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.

Au-delà, les données peuvent être archivées, sur un support distinct.

La durée de conservation déclarée dans le registre du RT doit correspondre à la période durant laquelle les données restent accessibles ou consultables, par opposition avec la période d’archivage des données pendant laquelle celles-ci ne sont plus destinées à être utilisées et sont de ce fait, conservées sur un support distinct au sein d’un service d’archives.

 5 . Le principe de sécurité et de confidentialité

Le responsable du traitement, est astreint à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation :

  • Les données contenues dans les fichiers ne peuvent être consultées que par les services habilités à y accéder en raison de leurs fonctions.
  • Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. S’il est fait appel à un prestataire externe, des garanties contractuelles doivent être envisagées.
  • Les mesures de sécurité, tant physique que logique, doivent être prises. (par ex : Protection anti-incendie, copies de sauvegarde, installation de logiciel antivirus, changement fréquent des mots de passe alphanumériques d’un minimum de 8 caractères.)
  • Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.

 6. Le principe de transparence

La loi garantit aux personnes l’information nécessaire relative aux traitements auxquels sont soumises des données les concernant et les assure de la possibilité d’un contrôle personnel. Le responsable du traitement de données personnelles doit avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers.

 7. Le principe du respect du droit des personnes

Le droit à l’information (articles 13 et 14 RGPD)Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes une série d’informations. Le responsable de traitement doit également lui fournir des informations lorsqu’elles n’ont pas été collectées auprès de la personne concernée.

Le droit d’accès (article 15 RGPD) La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaire prévues aux lettres a) à h). Ce droit comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.

Le droit de rectification (article 16 RGPD) La personne concernée a le droit de demander que ses données soient rectifiées ou complétées, et ce dans les meilleurs délais.

Le droit d’effacement ou « droit à l’oubli » (article 17 RGPD) La personne concernée a le droit de demander l’effacement de ses données, dans les meilleurs délais, si l’un des motifs du § 1 s’applique. Si les données de la personne concernée ont été transmises à d’autres entités, le mécanisme du « droit à l’oubli » s’enclenche : le responsable de traitement devra prendre toutes les mesures raisonnables pour informer les autres entités que la personne concernée a demandé l’effacement de tout lien vers ses données personnelles, ou de toute copie ou reproduction de celles-ci.

Le droit à la limitation du traitement (article 18 RGPD) La personne concernée a le droit, dans certains cas prévus par la loi, d’obtenir du responsable du traitement la limitation de ses données. Lorsqu’ une telle limitation est demandée, le responsable de traitement ne pourra plus que stocker les données. Aucune autre opération ne pourra, en principe, avoir lieu sur ces données personnelles.

L’obligation de notification du responsable (article 19 RGPD) Cet article met en place une obligation de notification à charge du responsable de traitement qui l’oblige à communiquer à chaque destinataire des données toute rectification, effacement ou limitation du traitement

Le droit à la portabilité des données (article 20 RGPD) La personne concernée a le droit de récupérer les données qu’elle a fournies au responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement, par exemple pour pouvoir changer de fournisseur de service. Ce droit ne peut être utilisé que si le traitement des données est basé sur le consentement de la personne concernée ou sur un contrat.

Le droit d’opposition (article 21 RGPD) La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’intérêt public ou l’intérêt légitime du responsable de traitement, y compris le profilage basé sur ces dispositions. La personne concernée a également le droit de s’opposer à ce que ses données soient traitées à des fins de marketing direct.

Le droit de ne pas être soumis à une décision individuelle automatisée (article 22 RGPD) La personne concernée a le droit de ne pas être soumise à une décision résultant exclusivement d’un traitement automatisé produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Le profilage y est expressément inclus.

Le droit à la communication d’une violation de données à caractère personnel (article 34 RGPD). Le responsable de traitement est obligé de notifier à la personne concernée les violations de données susceptibles de l’exposer à un risque élevé à ses droits et libertés.

Source http://www.cil.cnrs.fr/CIL/spip.php...