Quelles données peut-on traiter et sous quelles conditions?

Réponse

Le type et la quantité de données à caractère personnel qu'une entreprise/organisation peut traiter dépendent de la raison pour laquelle elles sont traitées (raison juridique utilisée) et du but dans lequel elles le sont. L'entreprise/organisation doit respecter plusieurs règles essentielles, notamment les suivantes:

• les données à caractère personnel doivent être traitées de manière licite et transparente, en garantissant la loyauté envers les personnes dont les données à caractère personnel sont traitées («licéité, loyauté et transparence»);
• il doit y avoir des finalités spécifiques pour traiter les données et l'entreprise/organisation doit indiquer ces finalités aux personnes concernées lorsqu'elle collecte leurs données à caractère personnel; une entreprise/organisation ne peut pas simplement collecter des données à caractère personnel pour des finalités non déterminées («limitation des finalités»);
• l'entreprise/organisation ne peut collecter et traiter que les données à caractère personnel qui sont nécessaires pour atteindre ces finalités («minimisation des données»);
• l'entreprise/organisation doit s'assurer que les données à caractère personnel sont exactes et tenues à jour au regard des finalités pour lesquelles elles sont traitées, et les corriger le cas échéant («exactitude»);
• l'entreprise/organisation ne peut plus utiliser les données à caractère personnel pour d’autres finalités qui ne sont pas compatibles avec la finalité pour laquelle elles ont été initialement collectées;
• l'entreprise/organisation doit s'assurer que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées («limitation de la conservation»);
• l'entreprise/organisation doit mettre en place des mesures techniques et organisationnelles appropriées qui garantissent la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de la technologie appropriée («intégrité et confidentialité»).

Exemple

Votre entreprise/organisation gère une agence de voyages. En recevant les données à caractère personnel de vos clients, vous devriez leur expliquer en des termes clairs et simples pourquoi vous avez besoin de ces données, comment vous les utiliserez et combien de temps vous entendez les garder. Le traitement devrait être personnalisé d’une manière qui respecte les principes fondamentaux de la protection des données.

Références

• Article 5(1); Considérant 39
• Groupe de travail «Article 29». Avis 03/2013 sur la limitation des finalités (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)