Vous êtes DPO et vous vous posez des questions sur la mise en conformité RGPD ? RGPD express vous accompagne sur la mise en place des actions nécessaires. Retrouvez ici les informations nécessaires pour être dans votre droit.
LES PRINCIPES APPLICABLES AU FONDEMENT ET A LA FINALITÉ DU TRAITEMENT
Pour être licite, le traitement de données personnelles doit reposer sur l’un des fondements suivants :
- Le consentement de la personne à une ou plusieurs finalités spécifiques (voir Fiche n°3)
- La nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles
- Sur la loi (applicable au sein de l’UE) dès lors qu’elle nécessite de traiter ou conserver les données personnelles ;
- Sur un intérêt vital pour la personne concernée (ex : un diagnostic vital, données de santé vitales…) ;
- Sur l’intérêt légitime du responsable de traitement, sauf si ce traitement n’est pas proportionné au regard de l’atteinte aux libertés et droits fondamentaux de la personne concernée. Le responsable de traitement doit alors faire une balance des intérêts en jeu. Exemples d’intérêt légitime mentionné au RGPD : lutte contre la fraude, sécurité du réseau et des informations…
Le traitement doit en outre s’inscrire dans un but précis, pour des finalités déterminées, explicites et légitimes ; les données personnelles ne doivent être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyen.
Exemples de finalités de traitement : gestion du recrutement, gestion de la clientèle, enquête de satisfaction, protection des biens et des personnes, etc.
Aucun traitement ultérieur ne doit intervenir hors du périmètre de ces finalités, sauf à en avoir averti préalablement la personne concernée et avoir obtenu son consentement ou à disposer d’un fondement (ci-dessus) rendant licite le traitement nouveau.
Par exemple, un fichier de recrutement ne peut pas être utilisé pour proposer des offres commerciales aux candidats à un emploi dans votre société (sauf à avoir obtenu son consentement spécifique pour cette finalité nouvelle avant ce nouveau traitement)
Le fondement et la finalité sont des éléments déterminants pour fixer la bonne durée de conservation des données personnelles.
QUE FAIRE EN PRATIQUE ?
Assurez-vous que toute donnée collectée répond à l’un de ces fondements avec les spécificités propres à chacun :
Ainsi, en cas de consentement : assurez-vous que le consentement a été obtenu dans les formes et exigences requises (voir point n°3)
En cas d’intérêt légitime, posez-vous la question : mon intérêt légitime peut-il réellement prévaloir au droit de la personne concernée à ne pas faire l’objet d’un traitement de ses données personnelles au regard des risques que comportent ce traitement pour ses droits et libertés ?
Assurez vous d’avoir une finalité identifiable et précise pour toute donnée personnelle conservée ou collectée ; à défaut, supprimez ces données personnelles ou régularisez cette finalité auprès de la personne concernée ; par sécurité et en cas de doute sur votre fondement, ne réutilisez jamais les données personnelles pour une finalité ultérieure qui serait incompatible avec la finalité initiale prévue lors de la collecte.
