RGPD: l’obligation de sécurisation des données à caractère personnel
L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs. Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité. Le changement de paradigme ainsi […]
RGPD: les concepts de privacy by design et de privacy by default
Le RGPD a introduit deux nouveaux concepts dans le corpus normatif qui organise la protection des données à caractère personnel : le privacy by design et le privacy by default – S’agissant du concept de privacy by design, il est porteur de l’idée que le responsable du traitement doit adopter des règles internes et mettre […]
RGPD: l’analyse d’impact relative à la protection des données (DPIA)
L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs. Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité. Le changement de paradigme ainsi […]
RGPD: le registre des activités de traitement
L’article 30 du RGPD dispose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ». Ce registre participe de la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles […]
RGPD: le principe d’accountability ou l’abandon – partiel – du système des formalités préalables
==> La loi du 6 janvier 1978 Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement Principe Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé […]
RGPD: le consentement des mineurs
Alors que la directive du 24 octobre 1995 n’abordait pas la question du consentement des mineurs, exposés tout autant au les majeurs, à des traitements de données à caractère personnel, le RGPD posent des conditions spécifiques applicables au consentement des enfants. Le législateur européen justifie cette démarche en arguant que les enfants méritent une protection […]
RGPD: le principe du consentement
Par principe, un traitement de données à caractère personnel ne peut être mis en œuvre qu’à la condition d’avoir recueilli préalablement le consentement de la personne concernée. A défaut, sauf à rentrer dans le champ d’application d’une exception, le traitement est illicite, ce qui est de nature à exposer le responsable à des sanctions. La […]
RGPD: L’exigence de conservation des données pendant une durée pertinente
L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Dans le même sens, l’article 5, e) du […]
RGPD: le principe de finalité
==> Reconnaissance du principe L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Dans la première version de la loi, le principe de finalité n’avait pas explicitement été […]
La prohibiton de la collecte indirecte de données à caractère personnel
I) L’exigence de collecte directe L’obligation de loyauté, suppose que les données soient collectées directement auprès de la personne concernée Par nature un traitement de données à caractère personnel est regardé comme déloyal, dès lors qu’il est effectué à l’insu de la personne concernée. Aussi, appartient-il au responsable du traitement d’informer la personne dont les […]