LES 10 PRINCIPES DE BASE DE LA PROTECTION DES DONNÉES

This entry is also available in:
  1. Types de données à caractère personnel : données de base ou ordinaires (nom, prénom, numéro de téléphone, adresse, etc.) et données spéciales ou sensibles (santé, religion, orientation sexuelle, idéologie, appartenance à un syndicat et autres).
  1. Consentement univoque et motifs de légitimation : La personne à laquelle appartiennent les données à traiter doit donner son consentement préalable, exprès et éclairé et celui-ci doit pouvoir être prouvé (par écrit dans un contrat ou une autorisation, par enregistrement, par une case à cocher, etc.) Lorsqu’il n’est pas possible de prouver l’existence d’un consentement ou d’un contrat pour le traitement des données, il sera possible de le légitimer sur d’autres bases, mais uniquement si le traitement est dans l’intérêt vital (par exemple, appel d’urgence), dans l’intérêt public (par exemple, registre civil), par obligation légale de l’entité qui le traitera (par exemple, identification des personnes) ou par intérêt légitime (par exemple, caméras de sécurité).
  1. Droits des individus en tant que personnes concernées
    • Droit d’accès pour savoir quelles données sont détenues et comment elles sont utilisées.
    • Droit de rectification, si les informations sont inexactes ou incomplètes.
    • Droit d’opposition au traitement de vos données.
    • Droit à l’effacement ou droit à l’oubli : suppression de vos données.
    • Droit de restreindre le traitement des données.
    • Droit à la portabilité : possibilité de demander que vos données soient transférées directement d’une organisation à une autre.
    • Le droit de ne pas faire l’objet de décisions individuelles automatisées.
  1. Tenir la partie intéressée informée : L’entité en tant que contrôleur de données et propriétaire de la base de données (par exemple, un opérateur téléphonique) et ses fournisseurs, en tant que responsables du traitement des données, informent la personne concernée d’une manière concise, transparente et facilement accessible et dans un langage clair et simple.
  1. Contrôleur des données et délégué à la protection des données : Dans toute activité qui traite des données à caractère personnel, il doit y avoir au moins un délégué à la protection des données (personne physique) qui veille au respect des dispositions du GDPR. Qui peut être le responsable de la sécurité (CISO). Si l’activité de l’entité dépend principalement du traitement de données à caractère personnel, il sera nécessaire de désigner un DPD qui assumera ces fonctions et coordonnera le volet sécurité avec le RSSI.
  1. Principe de responsabilité proactive : ce principe implique que toute personne ou entité traitant des données d’un tiers doit savoir quelles données elle traite, dans quel but, comment et pendant combien de temps. À cette fin, il doit procéder à une analyse de risque des différents traitements qu’il va effectuer et, en fonction des résultats, mettre en place des mesures de sécurité pour garantir la protection de la vie privée et respecter la réglementation.
  1. Registre des activités de traitement (RAT) : afin de démontrer le contrôle de cette responsabilité proactive, les entités publiques et privées sont tenues de disposer d’un registre interne des activités de traitement des données. Sauf dans les entreprises privées comptant moins de 250 employés et qui ne traitent pas de données sensibles ou de données présentant un risque pour les personnes concernées, auquel cas elle est recommandée, mais pas obligatoire.
  1. Protection des données dès la conception et par défaut : des mesures doivent être prises dès la conception du traitement des données pour se conformer au règlement et, par défaut, seules les informations personnelles strictement nécessaires doivent être traitées. Cela ne devrait pas se limiter au développement sécurisé au niveau technique, mais s’appliquer à tout projet impliquant un nouveau traitement de données (par exemple, remplacer le contrôle d’accès par carte par l’empreinte digitale, proposer de fournir un nouveau service ou produit, ouvrir un nouveau bureau dans un autre pays, etc.)
  1. Analyse d’impact : il s’agit d’une analyse de risque spécifique qui complète l’analyse précédente. Pour les traitements de données présentant un risque élevé, par exemple le traitement d’informations sensibles à grande échelle (par exemple les données relatives à la santé) ou un changement important de la technologie de traitement (par exemple l’automatisation des services), une analyse d’impact devra être réalisée avant le début du traitement.
  1. Notification d’une infraction : La police doit être informée et l’Agence espagnole de protection des données, ou les autorités de contrôle du pays concerné, doivent être informées dans les 72 heures d’une violation de la sécurité (destruction, perte ou altération accidentelle ou illicite) des données à caractère personnel. En cas d’infraction à haut risque, les propriétaires ou les médias doivent également être informés si cela n’est pas possible au cas par cas.