Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Exemple : Collecter et conserver le statut marital d'un salarié n'apparaît pas nécessaire à l'activité RH.
Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.
Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
Pour les données pouvant permettre la constatation, la défense ou l'exercice de droit en justice, elles peuvent être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du dernier contact émanant du prospect (cela en application du délai de prescription de droit commun).
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne.
Pour résumer : La logique de responsabilisation. La coresponsabilité des sous-traitants. Le privacy by design.
recueillir le consentement des personnes concernées. respecter le principe de minimisation. mettre en place et appliquer des durées de conservations. gérer les demandes d'exercice des droits des personnes concernées.
Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ; Les droits des personnes.
Trois types de données sont identifiées comme particulièrement sensibles : les données à caractère personnel, les données de santé, ainsi que certaines données industrielles.
Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique. Il est interdit de recueillir et d'utiliser ces données.
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes. La loi Informatique et Libertés permet à toute personne d'accéder aux données qui la concernent.
L'intérêt légitime est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel. Elle peut fonder un traitement nécessaire à la satisfaction des intérêts du responsable du traitement ou d'un tiers, sous réserve de respecter certaines conditions.
Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser. En pratique et en général, il s'agit de la personne morale incarnée par son représentant légal.
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des ...
Exemples de données à caractère personnel:
une adresse e-mail telle que pré[email protected]; un numéro de carte d'identité; des données de localisation (par exemple: la fonction de localisation d'un téléphone portable)*; une adresse de protocole internet (IP);
Elle est composée de onze (11) membres choisis en raison de leur compétence juridique et/ou technique. Par ailleurs, un Commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la Commission. Leur mandat est de quatre (4) ans renouvelable une fois.
La règle est simple : le RGPD s'applique à toute entreprise qui collecte, stocke ou utilise des données personnelles sur des résidents de l'Union européenne, que l'entreprise soit située dans l'Union européen ou en dehors de l'Union européenne.
Dans l'univers numérique, la Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
Les traitements non concernés par le RGPD
Les traitements sur des données à caractère personnel d'individus ne résidant pas dans l'union européenne ou n'ayant pas la citoyenneté européenne ne sont pas concernés par le RGPD.
On parle depuis quelques années du phénomène de big data , que l'on traduit souvent par « données massives ». Avec le développement des nouvelles technologies, d'internet et des réseaux sociaux ces vingt dernières années, la production de données numériques a été de plus en plus nombreuse : textes, photos, vidéos, etc.
Il n'y a donc pas de différences à proprement parler entre le Règlement Général sur la Protection des Données et la loi Informatique et Libertés, le premier complétant désormais la seconde.
Le RGPD est obligatoire dans l'ensemble des 28 états membres depuis le 25 mai 2018. Tous les acteurs ayant recours à des données personnelles doivent se conformer à ce règlement européen.