Article 5 – Principes relatifs au traitement

Article 5 - Principes relatifs au traitement

1. Les données à caractère personnel doivent être:
  • a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
  • b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l' article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
  • c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
  • d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
  • e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
  • f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

En savoir plus...

Ces principes ont une longue histoire juridique et sont basés sur les principes de l'article 5 de la Convention 108 de 1981. Conformément à cette tradition, l'article 5 du GDPR est également largement cohérent avec l'article 6(1) de l'ancienne directive sur la protection des données 95/46/EC. Certains des principes sont également reflétés dans l'article 8 de la Charte des droits fondamentaux de l'UE (Charte de l'UE), d'autres principes peuvent être considérés comme une conséquence logique du test de proportionnalité en vertu de la Charte.

L'article 5 du RGPD énonce tous les principes relatifs au traitement des données à caractère personnel : la licéité, l'équité et la transparence ; limitation de la finalité ; minimisation des données ; l'exactitude ; limitation du stockage ; l'intégrité et la confidentialité ; la responsabilité.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Principes relatifs aux traitements de données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

Droit souple

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

AEPD (autorité espagnole)
12 février 2025

6 000 euros d’amende pour un journal ayant publié des données personnelles excessives dans un article, incluant des données de santé.

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de PUBLICACIONES Y EDICIONES BARACA 208, S.L.  pour avoir publié un article dans un journal (en l’occurrence, numérique) contenant des données personnelles inutiles. L’affai [...]

DVI (autorité lettonne)
11 février 2025

#DVI explique : La publication des résultats scolaires des élèves est-elle admissible ?

Les parents et d’autres parties intéressées rapportent de temps à autre à l’autorité que dans les écoles, les résultats quotidiens des élèves et leurs classements sont publiés. C’est l’exemple des résultats des élèves est affiché sur le tableau, avec le nom de chaque élève, sa note moyenne et sa position parmi [...]

Datatilsynet (autorité danoise)
10 février 2025

Une entreprise reçoit de vives critiques pour le traitement des données personnelles d’un ancien employé

L’autorité danoise a aujourd’hui publié une décision dans une affaire où une entreprise avait indûment accédé au compte e-mail personnel d’un ancien employé et téléchargé des e-mails comme preuve dans un litige civil concernant un différend en matière d’emploi entre l’entreprise et [...]

ANSPDCP (autorité roumaine)
08 février 2025

Un Roumanie, un lycée sanctionné pour un système de vidéosurveillance étendu jusque dans les zones sanitaires

L’autorité roumaine a, hier, annoncé avoir adressé un avertissement le lycée Vasile Conta à Târgu Neamț pour avoir installé un système de vidéosurveillance ne répondant pas aux obligations du RGPD. L’enquête a été initiée à la suite d’une plainte signalant que ce lycée traite des données person [...]

ANSPDCP (autorité roumaine)
06 février 2025

L’assureur Omnisiag condamné en Roumanie pour avoir mal paramétré les accès aux données de son sous-traitant

L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction (avec une amende 14.931 lei à la clé, soit environ 3 000 euros) à l’encontre d’Omniasig Vienna Insurance Group S.A en raison d’un manquement à la sécurité des données. L’enquête a été lanc [...]

CNIL
04 février 2025

Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier

La CNIL a aujourd’hui annoncé avoir sanctionné une société (non nommée) d’une amende de 40 000 euros en raison d’une surveillance disproportionnée de l’activité de ses salariés, à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée et pour effectuer des captures d’é [...]

AEPD (autorité espagnole)
04 février 2025

En Espagne, un hôtel sanctionné pour avoir exigé une copie de la pièce d’identité lors du check-in

Ce jour, l’autorité espagnole a publié une décision de sanction à l’encontre du propriétaire de l’établissement hôtelier « POSADA EL AZUFRAL », pour avoir enfreint le principe de minimisation des données personnelles. Comme souvent, cette affaire a débuté avec une réclamation d’un client qui a [...]

La Quadrature du Net
30 janvier 2025

La justice confirme l’illégalité de Briefcam

Victoire totale aujourd’hui au tribunal administratif de Grenoble ! L’affaire opposant La Quadrature du Net à la ville de Moirans, en Isère, s’achève par une décision reconnaissant l’illégalité du logiciel de vidéosurveillance algorithmique Briefcam. La justice ordonne à la commune de cesser immédiatement l’utilisation de ce logiciel.

Le logiciel de Briefcam est insta [...]

ANSPDCP (autorité roumaine)
28 janvier 2025

Orange Roumanie condamné à 40 000 euros d’amende, notamment pour ne pas avoir accordé une demande d’effacement 

Ce 27 janvier, l’autorité roumaine a publié (partiellement) une décision de sanction à l’encontre de l’entité roumaine de l’opérateur de télécommunications en raison de lacunes dans le traitement d’une demande d’effacement. Après une tentative infructueuse d&rsqu [...]

AEPD (autorité espagnole)
27 janvier 2025

L’autorité espagnole condamne Generali à 5 millions d’euros en raison de failles de sécurité ayant abouti à une violation 

La Agencia Española de Protección de Datos (AEPD) a sanctionné Generali España, Sociedad Anónima de Seguros y Reaseguros, d’une amende de 5 millions d’euros (finalement rapportée à 4) pour plusieurs violations du Règlement Général sur la Protection des Données (RGPD) suite à une importante fuite de [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu

Retour en haut