Légitimité, honnêteté et transparence

Le premier principe est relativement évident : les entreprises doivent s’assurer que leurs pratiques de collecte des données ne violent pas la loi et qu’elles ne cachent rien aux personnes concernées.

Afin de rester légitime, vous devez avoir une compréhension approfondie du RGPD et des règles de collecte des données. Vous devez indiquer le type de données collectées ainsi que la raison pour laquelle vous les collectées dans votre politique de confidentialité afin de rester transparent avec les personnes concernées.

 

Limitation du traitement

Les entreprises ne doivent collecter des données personnelles qu’à des fins spécifiques, indiquer clairement leur objectif et ne conserver les données que pour une durée nécessaire afin d’atteindre cet objectif.

Le traitement effectué à des fins d’archivage dans l’intérêt public ou à des fins scientifiques, historiques ou statistiques bénéficie de plus de libertés.

 

Minimisation des données

Les entreprises doivent uniquement traiter les données personnelles dont elles ont besoin afin d’atteindre l’objectif initial. Cela présente deux avantages majeurs. Tout d’abord, en cas de violation de données, la personne non-autorisée n’aura accès qu’à une quantité limitée de données. Deuxièmement, la minimisation des données permet de conserver des données exactes et à jour.

 

Exactitude

L’exactitude des données personnelles fait partie intégrante de la protection des données. Le RGPD stipule que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder. »

 

Limitation de stockage

De la même manière, les entreprises doivent supprimer les données personnelles lorsqu’elles ne sont plus nécessaires au traitement.

Comment savoir lorsque les données ne sont plus nécessaires ?

Selon la société de marketing Epsilon Abacus, les entreprises pourraient argumenter qu’elles « devraient être autorisées à stocker les données aussi longtemps que l’individu peut être considéré comme un client. La question est donc la suivante : suite à un achat, pendant combien de temps un individu peut-il être considéré comme étant un client ? »

La réponse à cela variera selon l’industrie et les raisons pour lesquelles les données sont collectées. Toute entreprise n’étant pas certaine de la durée de conservation des données personnelles devraient consulter un spécialiste.

 

Intégrité et confidentialité

Ce principe est le seul traitant explicitement la problématique de sécurité. Le RGPD indique que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées. »

Le RGPD est délibérément vague quant aux mesures que les entreprises devraient prendre, car les meilleures pratiques technologiques et organisationnelles évoluent constamment. Actuellement, les entreprises devraient crypter et/ou pseudonymiser les données personnelles dans la mesure du possible, mais devaient également considérer toutes les autres options qui pourraient convenir.