Les principes du RGPD

Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne devront pas être traitées ultérieurement de manière incompatible avec ces finalités.

Cela signifie que les données ne peuvent être collectées qu’en vue d’un objectif précis, elles ne peuvent pas être collectées simplement au cas où elles seraient utiles un jour.

Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Cela signifie que seules les données utiles à l’objectif poursuivi peuvent être collectées. Il n’est par exemple pas pertinent de demander l’adresse postale d’une personne pour l’envoi d’une newsletter par mail.

Les données doivent en plus respecter le principe d’exactitude, c’est-à-dire être exactes et, si nécessaire, tenues à jour.

Il est interdit de conserver indéfiniment des données. Une durée de conservation doit être déterminée en fonction de l’objectif poursuivi, et ce avant toute mise en œuvre du traitement. L’atteinte de la finalité marque la fin de cette durée.

À l’issue du traitement, les données sont détruites, anonymisées ou archivées. Les données peuvent être conservées plus longtemps dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Le responsable du traitement doit garantir la sécurité des données traitées. Il doit à ce titre prendre toutes les mesures techniques et organisationnelles nécessaires pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Ces mesures dépendent de la nature des données, de leur sensibilité et des risques liés à leur utilisation, il peut s’agir d’une limitation des accès aux données, de la pseudonymisation des données, de leur chiffrement, du recours à des services présentant certaines garanties, tels que les services de l’Université (Limesurvey, Drive, sauvegarde des données sur les serveurs de l’Université,…), etc.

Les personnes concernées par un traitement de données personnelles disposent de nombreux droits leur permettant de garder le contrôle de leurs données. Les droits effectivement applicables varient selon le traitement, mais dans tous les cas, la personne concernée peut : demander l’accès aux données personnelles la concernant, demander leur rectification ou effacement, demander à s’opposer au traitement, demander la limitation du traitement, demander la portabilité de ses données, demander à retirer son consentement, demander à définir des directives relatives au sort des données après sa mort.

Par ailleurs, la personne concernée dispose d’un droit à l’information. Elle doit donc être informée d’un certain nombre d’informations (finalité du traitement, base légale, durée de conservation, destinataires, droits, etc.), avant toute collecte de données personnelles (article 13 du RGPD). Si les données ne sont pas collectées directement auprès d’elle, ces informations doivent lui être fournies au plus tard 1 mois après le début du traitement, c’est-à-dire à compter de la première opération sur les données (article 14 du RGPD).