Article 5 du RGPD : Principes relatifs au traitement des données à caractère personnel

Sommaire :

Comprendre l’article 5

Un traitement de données personnelles, c’est toute opération réalisée sur des données personnelles : telles que la collecte, l’utilisation, le stockage… d’informations permettant d’identifier quelqu’un. 

L’article 5 du RGPD énonce les grands principes qui doivent guider les traitements de données à caractère personnel selon le RGPD

  • Les principes de licéité, loyauté et transparence au regard de la personne concernée 

Tout traitement de données personnelles opéré doit respecter les principes de licéité, loyauté et transparence. Par cela, on entend que chaque traitement doit être licite, c’est-à-dire autorisé, fondé juridiquement. On entend par principe de loyauté que le traitement soit opéré de manière juste et équitable vers la personne concernée. Le principe de transparence implique que les informations relatives au traitement (sa finalité, les durées de conservation, le responsable de traitement, les sous-traitants impliqués…) soient disponibles de manière claire, lisible et accessible pour la personne concernée par le traitement. 

  • Le principe de limitation des finalités, qui doivent être déterminées, explicites et légitimes, et des données compatibles avec la finalité retenue 

Les principes de limitation, détermination, légitimité, clarté et compatibilité des finalités impliquent que pour chaque traitement de données personnelles, les finalités (c’est-à-dire l’objectif du traitement) doivent être précisément respectées. Ainsi, le responsable de traitement ne peut étendre l’utilisation des données à une autre que celle prévue par la finalité. La finalité doit être déterminée correctement : chaque traitement doit avoir un objectif, une utilisation précisément définie. Les finalités doivent être légitimes, en ce qu’elles doivent présenter un réel intérêt pour l’organisme, être utiles. Les finalités doivent être claires et précises, aisément compréhensibles par l’ensemble des personnes concernées.

Enfin, les données récoltées doivent être compatibles avec les finalités mentionnées. Par exemple, des données bancaires ne seraient pas compatibles avec une finalité de prospection de newsletter. 

  • Le principe de minimisation des données qui doivent être adéquates, pertinentes et limitées selon leurs finalités 

Le principe de minimisation implique que les données personnelles récoltées doivent être strictement nécessaires à la réalisation du traitement. On ne récolte pas des données au cas où. Les données récoltées doivent l’être pour une finalité précise. 

  • Le principe d’exactitude des données et éventuellement mises à jour

Le RGPD implique que les données personnelles traitées doivent être à jour. En effet, le responsable de traitement doit s’assurer de récolter des données exactes auprès de la personne concernée, et d’assurer la possibilité pour la personne concernée de modifier/mettre à jour ses informations.

  • Le principe de limitation de la durée de conservation des données dans une durée qui n’est pas excessive au regard de la finalité déterminée 

Une donnée personnelle ne peut pas être conservée indéfiniment ! En effet, pour chaque traitement, des durées de conservation doivent être déterminées. Pour certains traitements, la durée de conservation maximum est définie par la CNIL (par exemple, en matière de recrutement, les données des candidats peuvent être conservées 2 ans si le candidat est informé). 

  • Le principe d’intégralité et de confidentialité des données

Ce principe d’intégralité et de confidentialité implique la sauvegarde et la sécurité des données traitées par le responsable de traitement.

Et attention : c’est au responsable de traitement d’assurer la bonne application de ces principes, au risque de voir sa responsabilité engagée !

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 5 du RGPD

  1. « Les données à caractère personnel doivent être: 

    a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence); 

    b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités); 

    c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); 

    d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ; 

    e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

    f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

  2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

Jurisprudence

Sanction : 800 000€ d’amende pour Carrefour Banque

Après un contrôle de la CNIL, plusieurs manquements sont reprochés à la société Carrefour Banque. Concernant l’article 5, la CNIL revient sur un point essentiel de cet article: l’obligation de traiter les données de manière loyale. Carrefour Banque transmettait des informations à Carrefour France sans prévenir les personnes concernées de la transmission de ces informations. La CNIL admet ici un comportement déloyal. Décision de la CNIL du 18 novembre 2020, Carrefour Banque:

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €