La finalité Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées les objectifs de la collecte des données ou autrement dit ce à quoi elles vont lui servir. Plus encore, les données personnelles collectées ne pourront pas être réutilisées pour une autre finalité que celle prévue initialement. Exemples de finalités: gestion du recrutement, gestion de la clientèle etc. Ainsi à titre d'exemple un fichier de recrutement ne pourra être utilisé pour de la prospection commerciale. La pertinence ou le principe de minimisation Les données traitées doivent être pertinentes, adéquates et limitées au regard de la finalité poursuivis. Ainsi seules les données strictement nécessaires à la réalisation de l'objectif déterminé doivent être collectées: c'est le principe de minimisation. Autrement dit le responsable de traitement ne doit pas collecter plus de données que ce dont il a vraiment besoin. Exemple de données non pertinentes: un site marchand qui propose de tester son produit à domicile n'a pas besoin de collecter; La limitation de la conservation des données Une fois que l'objectif poursuivi par la collecte des données est atteint, il n'y a plus lieu de les conserver et elles doivent être supprimées.
Le thème abordé dans cette fiche pratique Objectif: respecter la mise en oeuvre du principe de minimisation Article 5, c du RGPD: principes relatifs au traitement des données à caractère personnel. Vos données sont en sécurité! DPO Consulting prend très au sérieux la protection ainsi que la confidentialité de vos données. Tous les jours, nous traitons une grande quantité de données, c'est pourquoi nous avons établi des normes de sécurités élevées qui respectent les principes du RGPD. Pour en savoir plus: Politique de confidentialité
Pour être admissible, tout traitement de données à caractère personnel doit répondre à un certain nombre d'exigences de fond. Vous devez donc respecter les principes suivants lorsque vous êtes amenés à traiter des données à caractère personnel: Principe de licéité, loyauté et transparence Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. La collecte, l'enregistrement, l'utilisation et la transmission de données personnelles doivent se faire en conformité au règlement, de bonne foi, et non pas à l'insu de la personne concernée. Principe de limitation des finalités Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. Les objectifs poursuivis doivent être choisis et connus avant le début du traitement. De plus, ils doivent être définis de manière précise et se référer à un ou plusieurs buts précis (finalités déterminées et explicites).
Traitement des données de santé Le traitement de données de santé est en principe interdit, car il s'agit d'une catégorie particulière de données (encadrée par l'article 9 du RGPD). Cette interdiction n'est pas pour autant absolue puisqu'il existe un certain nombre de dérogations. Contrats dans le champ de la protection sociale Ainsi, le traitement de données de santé est possible lorsque que celui-ci est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit à la protection sociale. Dès lors, les organismes d'assurance pourront se prévaloir de cette exception pour les contrats relevant de ce périmètre (ex: contrats de complémentaire santé, contrats de prévoyance, retraite supplémentaire). Contrats en dehors du champ de la protection sociale Pour les contrats qui ne relèvent pas du champ de la protection sociale, le recueil d'un consentement explicite de la personne concernée sera requis (article 9.