La collecte et le traitement des données par votre entreprise doit répondre à certains principes. Ceux-ci ont vocation à responsabiliser les acteurs traitant des données. Elles sont essentielles pour protéger la vie privée de vos clients, lesquels s’interrogent d’ailleurs de plus en plus sur l’utilisation des données les concernant.

 

 

  • Loyauté et licité du traitement 

Le traitement des données doit être réalisé pour des raisons légitimes et son usage doit être conforme à la réglementation et transparent. Il est notamment exécuté à l’occasion de la mise en œuvre des droits des personnes, lorsque celles-ci sont informées de la collecte et du traitement de leurs données ou lorsque les personnes s’opposent au traitement de leurs données.

Par exemple, une entreprise qui met en place un système de cartes de fidélité ne peut établir un profil de consommation si le client n’en a pas été informé, ou a seulement été informé que cette carte pouvait lui faire bénéficier de réductions.

 

 

  • Recueil d’un consentement 

Le consentement de l’individu dont les données sont collectées et traitées doit être express, c’est-à-dire qu’il doit résulter d’un acte positif. Il ne peut pas résulter d’un silence ou d’une case cochée par défaut.

Par exemple, en ce qui concerne l’utilisation de cookies, il faut que l’internaute soit correctement informé comme par exemple avec un bandeau qui indique précisemment ce pourquoi les cookies sont utilisés, qui indique que la poursuite de la navigation vaut accord, et qui permet de s’opposer à ceux-ci. Ce bandeau ne doit pas disparaitre tant que la personne n’a pas poursuivi sa navigation, condition pour que le consentement ne soit pas ambigu.

 

 

  • Finalité du traitement 

Les données qui font l’objet d’un traitement doivent l’être pour un but déterminé, explicite et légitime. Cette finalité ne peut être modifiée : les données collectées pour un traitement ne peuvent pas être traitées dans un but autre que celui pour lequel les personnes ont donné leur consentement.

Par exemple, si une entreprise collecte des adresses e-mail dans le but unique d’informer son client de l’évolution de son offre, et après avoir reçu le consentement de celui-ci, elle ne peut revendre cette adresse à des prestataires commerciaux puisque ce n’est pas la finalité pour laquelle le client a consenti.

 

 

  • Proportionnalité

On ne peut collecter que les données qui sont adéquates, pertinentes et non excessives à la finalité du traitement.

Par exemple, la collecte d’informations bancaires lors de la réservation d’une table au restaurant est excessive au regard de la finalité poursuivie puisque celle-ci n’est pas le paiement mais l’organisation de l’établissement dans la gestion de son service. De même, la mise en place d’un système de controle par identification biométrique sans justification particulière n’est pas proportionnelle.

 

 

  • Sécurité des données 

Le responsable du traitement a l’obligation d’entreprendre toutes les mesures nécessaires pour assurer la sécurité des données et éviter leur divulgation à des tiers non autorisés.

Par exemple, ces mesures peuvent consister à définir les bonnes pratiques concernant la protection des éléments (chiffrement, anonymisation, etc.), la prévention des impacts potentiels (sauvegarde des données, traçage de l’activité, etc.), l’identification des sources de risques (contrôle des accès, lutte contre les codes malveillants, etc.) ou concernant les supports utilisés (réduire les vulnérabilités des matériels, logiciels, réseaux, etc.).

 

 

  • Exactitude des données 

Les données collectées et traitées doivent être exactes. Pour cela, il est préférable de favoriser une mise à jour régulière des données en question.

Des mesures doivent être mises en place afin que les données inexactes soient effacées ou rectifiées. La solution la plus adéquate pour respecter ce principe est de mettre en place une application qui permet aux utilisateurs de modifier eux-mêmes leurs données.

 

 

  • Suppression des données 

Les données dont le traitement n’est plus nécessaire doivent être supprimées. La durée de conservation est variable et dépend de la nature des données et des finalités poursuivies.

Par exemple, la conservation des images tirées d’un dispositif de vidéo-surveillance ne peut excéder 1 mois. Aussi, les données relatives aux ressources humaines telles que la paie ou le contrôle des horaires ne peuvent pas être conservées plus de 5 ans.