Feuillet Hebdo de la Revue Fiduciaire
➔ Rappel des fondamentaux du RGPD
Les principes protecteurs des données personnelles
Le RGPD reprend le principe déjà connu de finalité (loi 78-17 du 6 janvier 1978, art. 6 ; règlt UE 2016/679 du 27 avril 2016, art. 5). Ainsi, les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. En clair, dès lors que la finalité ultérieure des données ne correspond plus à la finalité initiale, il s'agira d'un contournement.
Le principe de finalité entraîne de facto le respect des principes de proportionnalité et pertinence.
Il en résulte que les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé, explicite et légitime. Les données doivent donc être pertinentes, adéquates et limitées aux besoins.
En conséquence de quoi, les entités amenées à traiter des données à caractère personnel doivent les mettre à jour et mettre en place un système de suivi des données.
Pour une illustration RH, cela peut vouloir dire que l'employeur doit actualiser, mettre à jour et donc supprimer les CV qu'il aurait pu récolter dans le cadre d'une nouvelle embauche, au titre du droit à l'effacement, variante du droit à l'oubli, consacré au sein du RGPD (voir § 4-7). En découle un autre principe, celui de la limitation de la conservation des données. Les données ne peuvent être conservées de façon indéfinie dans les fichiers informatiques et un délai de conservation doit donc être fixé.
En outre, le RGPD impose que les données soient traitées de façon à garantir une sécurité appropriée et à éviter leur divulgation au moyen de mesures techniques ou organisationnelles appropriées (règlt UE 2016/679 du 27 avril 2016, art. 5).