Gouvernance > Protection des données > Les principes du RGPD


Les principes du RGPD

Le Règlement général sur la protection des données liste cinq principes à respecter pour qu’un traitement de données à caractère personnel puisse être mis en œuvre.

1. Le principe de respect de la finalité du traitement

Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne devront pas être traitées ultérieurement de manière incompatible avec ces finalités.

Cela signifie que les données ne peuvent être collectées qu’en vue d’un objectif précis, elles ne peuvent pas être collectées simplement au cas où elles seraient utiles un jour.

2. Le principe de minimisation des données

Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Cela signifie que seules les données utiles à l’objectif poursuivi peuvent être collectées. Il n’est par exemple pas pertinent de demander l’adresse postale d’une personne pour l’envoi d’une newsletter par mail.

Les données doivent en plus respecter le principe d’exactitude, c’est-à-dire être exactes et, si nécessaire, tenues à jour.

3. Le principe de limitation de la conservation

Il est interdit de conserver indéfiniment des données. Une durée de conservation doit être déterminée en fonction de l’objectif poursuivi, et ce avant toute mise en œuvre du traitement. L’atteinte de la finalité marque la fin de cette durée.

À l’issue du traitement, les données sont détruites, anonymisées ou archivées. Les données peuvent être conservées plus longtemps dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

4. Le principe d’intégrité et de confidentialité

Le responsable du traitement doit garantir la sécurité des données traitées. Il doit à ce titre prendre toutes les mesures techniques et organisationnelles nécessaires pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Ces mesures dépendent de la nature des données, de leur sensibilité et des risques liés à leur utilisation, il peut s’agir d’une limitation des accès aux données, de la pseudonymisation des données, de leur chiffrement, du recours à des services présentant certaines garanties, tels que les services de l’Université (Limesurvey, Drive, sauvegarde des données sur les serveurs de l’Université,…), etc.

5. Le principe de respect du droit des personnes

Les personnes concernées par un traitement de données personnelles disposent de nombreux droits leur permettant de garder le contrôle de leurs données. Les droits effectivement applicables varient selon le traitement, mais dans tous les cas, la personne concernée peut : demander l’accès aux données personnelles la concernant, demander leur rectification ou effacement, demander à s’opposer au traitement, demander la limitation du traitement, demander la portabilité de ses données, demander à retirer son consentement, demander à définir des directives relatives au sort des données après sa mort.

Par ailleurs, la personne concernée dispose d’un droit à l’information. Elle doit donc être informée d’un certain nombre d’informations (finalité du traitement, base légale, durée de conservation, destinataires, droits, etc.), avant toute collecte de données personnelles (article 13 du RGPD). Si les données ne sont pas collectées directement auprès d’elle, ces informations doivent lui être fournies au plus tard 1 mois après le début du traitement, c’est-à-dire à compter de la première opération sur les données (article 14 du RGPD).




Contacter la Déléguée à la protection des données (DPO)

Par mail : dpo@univ-rouen.fr

Par courrier :

Déléguée à la protection des données (DPO)
Direction des affaires juridiques et statutaires,
1 rue Thomas Becket,
76821 MONT-SAINT-AIGNAN Cedex
 


La DPO n’est pas compétente pour les demandes d’assistance informatique,
merci de contacter votre référent informatique dont l’adresse est disponible ici.