Intelligence des données

GDPR : 7 principes à respecter dans le traitement des données personnelles

Actian Corporation

20 février 2019

gdpr-7-principes

Le traitement des données personnelles doit respecter ces 7 principes :

1. Les principes de légalité, de loyauté et de transparence

La loi impose que les données doivent être collectées et traitées de manière loyale et liciteLa loi impose que les données soient collectées et traitées de manière loyale et licite, ce qui impose implicitement au responsable du traitement d'être transparent pour la personne concernée.

Allons un peu plus loin :

  • La loi garantit aux personnes qui soumettent leurs données les informations nécessaires relatives aux traitements les concernant.
  • Il assure la possibilité d'un contrôle personnel.
  • Le responsable du traitement des données personnelles est tenu d'avertir les personnes concernées dès que les données sont collectées et lorsque les données sont transmises à des tiers.

2. Le principe de finalité

Toutes les données personnelles collectées et traitées doivent l'être à des fins légitimes, correspondant au responsable ou aux missions de l'entreprise. L'utilisation abusive de ces données est passible de sanctions pénales.

3. Le principe de proportion

Le règlement exige que les données soient collectées pour un traitement spécifique et qu'elles soient clairement définies.

A titre d'exemple : Dans le cas d'une opération de marketing où le nom, le prénom et l'adresse électronique sont suffisants pour le traitement envisagé, la collecte de l'adresse postale, de la situation familiale, de la situation financière, etc. sera jugée disproportionnée et donc punissable par la loi.

4. Le principe des données pertinentes

En d'autres termes, les entreprises doivent s'assurer que les données sont exactes et mises à jour si nécessaire.

5. Le principe de l'accès limité et de la conservation des données

Ces informations ne peuvent pas être conservées sans limite de temps dans les systèmes d'information de l'entreprise. Une limite de temps doit être fixée pour chaque fichier. À l'issue de ce délai, les données doivent être supprimées ou rendues anonymes.

6. Le principe de sécurité et de confidentialité

Le règlement renforce les mesures de sécurité. Les entreprises sont responsables de la sécurité des données qu'elles traitent et doivent mettre en œuvre les mesures adéquates pour la garantir (pseudonymisation des données, analyse d'impact, tests d'intrusion, etc.)

Cela signifie que la personne responsable de leur traitement est tenue de respecter ces mesures de sécurité. Elle doit les mettre en œuvre pour :

  • Garantir la confidentialité de leurs données et éviter leur divulgation. En d'autres termes, le responsable doit veiller à ce que les tiers qui n'ont pas l'autorisation d'accéder à leurs données ne puissent pas le faire.
  • Empêcher que les données ne soient déformées ou endommagées.

Cette responsabilité est mise en avant par un nouveau principe intitulé "Privacy By Design" (respect de la vie privée dès la conception). Ce principe fait référence au processus consistant à prendre toutes les mesures nécessaires pour protéger les droits des personnes (c'est-à-dire dès la conception d'un produit ou d'un service) et tout au long du cycle de vie des données (de la collecte à la suppression).

Des mesures de sécurité, tant physiques que logiques, doivent être prises.

Par exemple : protection contre les incendies, copies de sauvegarde, installation de logiciels antivirus, changement fréquent des mots de passe, etc.) Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.

7. Le principe de responsabilité

L'un des changements les plus importants est le principe de responsabilité. Ce principe oblige les entreprises à documenter toutes les mesures et procédures en matière de sécurité des données personnelles.

Cette documentation sert de preuve de conformité aux nouvelles règles et réglementations si jamais une entreprise devait faire l'objet d'un contrôle administratif. Cette mesure se traduit par l'obligation de tenir un registre des traitements. En effet, ce registre permet de constituer une base de données pour les traitements, mais pourrait également servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l'entreprise.
La suppression de l'obligation de déclaration préalable à la CNIL. Cette mesure reflète le principe qui régit le GDPR : responsabiliser les entreprises en développant l'autocontrôle.

Ce n'est plus aux régulateurs de prouver que vous êtes dans l'erreur, mais c'est à vous de prouver que vous êtes dans le vrai.

logo avatar actian

À propos d'Actian Corporation

Actian facilite l'accès aux données. Notre plateforme de données simplifie la façon dont les gens connectent, gèrent et analysent les données dans les environnements cloud, hybrides et sur site . Avec des décennies d'expérience dans la gestion des données et l'analyse, Actian fournit des solutions de de haute performance qui permettent aux entreprises de prendre des décisions basées sur les données. Actian est reconnu par les principaux analystes et a reçu des prix de l'industrie pour sa performance et son innovation. Nos équipes partagent des cas d'utilisation éprouvés lors de conférences (par exemple, Strata Data) et contribuent à des projets à code source ouvert. Sur le blog d'Actian, nous couvrons des sujets allant de l'ingestion de données en temps réel à l'analyse pilotée par l'IA.