CNIL. Les durées de conservation : guide pratique. Version juillet 2020. [en ligne] [Consulté le 12.08.2021]
CEPD. Lignes directrices 4/2019 relatives à l'art. 25 Protection des données dès la conception et protection des données par défaut. Adoptées le 20 octobre 2020. Version 2.0 [en ligne] [Consulté le 12.08.2021]
CEPD. Guidelines on assessing the necessity and proportionnality of measures that limit the right to data protection. 25 février 2019. [en ligne] [Consulté le 19.08.2021]
CEPD. Evaluation de la nécessité des mesures limitant le droit fondamental à la protection des donnes à caractère personnel. 11 avril 2017 [en ligne] [Consulté le 19.08.2021]
DATA PROTECTION NETWORK. Data Retention Guidance : a practical Guide for Commercial and Non-Profit Organizations. 4th June 2020. [en ligne] [Consulté le 18.03.2022]
GROUPE DE TRAVAIL "Article 29" SUR LA PROTECTION DES DONNEES. Lignes directrices sur la transparence au sens du règlement (UE) 2016/679. (WP260 rev.01) Adoptées le 29 novembre 2017. Version révisée et adoptée le 11 avril 2018. [en ligne] [Consulté le 04.08.2021]. Version anglaise.
LECHTMAN, Deborah. L'obligation de "privacy by design" en Suisse et son implémentation dans les études d'avocats. In : Anwalts Revue de l'avocat, 10/2020. pp. 403-407 [en ligne] [Consulté le 21.08.2024]
METILLE, Sylvain. ARASTEH, Yasmine. Le règlement général sur la protection des données et les assureurs privés suisses. In : Jahrbuch SGHVR 2018 / Annales SDRCA 2018, Stephan Führer (Hrsg.). Zürich : Schulthess, 2018. ISBN 978-3-7255-7860-3
METILLE, Sylvain. La notion de protection des données dès la conception. 9 novembre 2020. In www.swissprivacy.law/26 [en ligne] [Consulté le 21.08.2024]
Les données ne peuvent être traitées que dans le but pour lequel elles ont été récoltées.
Ex : La collecte de l’adresse électronique des abonnés à une newsletter ne peut pas être détournée pour de la prospection commerciale.
La finalité d’un traitement doit être déterminée, légitime et explicite. Elle doit être respectée. Elle permet de déterminer la pertinence des données recueillies et de fixer leur durée de conservation. Tout détournement de finalité est passible de sanctions pénales.
Le traitement ultérieur à des fins archivistiques, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales.
On parle aussi de minimisation des données. La récolte des données doit être limitée à ce qui est nécessaire pour réaliser la finalité définie pour le traitement.
Ce principe s’applique au regard de la finalité du traitement et de la nature des informations collectées.
Ex : données qui ne respectent pas le principe de proportionnalité tels que commentaires personnels dans des zones de notes ou données récoltées dans le but d’anticiper des besoins futurs.
Pour qu’un traitement de données à caractère personnel soit licite, il faut qu’il repose sur un motif justificatif appelé « base légale ». Il en existe 6 selon le RGPD :
Le responsable du traitement définit la base légale sur laquelle repose le traitement avant sa mise en place et pour toute sa durée. Il informe la personne concernée de la base légale choisie avant la récolte des données à caractère personnel.
Un traitement est transparent si le responsable du traitement fournit à la personne concernée toutes les informations préalables au traitement et s’il communique par écrit à propos de l’exercice de ses droits ou d’une violation de ses droits.
Les informations communiquées doivent être compréhensibles et formulées dans des termes clairs et simples.
Toutes les mesures raisonnables doivent être prises par le responsable du traitement pour maintenir les données à caractère personnel à jour au regard des finalités pour lesquelles elles ont été récoltées.
Dans le cas contraire, elles doivent être effacées.
La conservation des données ne doit pas excéder la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, à moins qu’il n’existe une obligation légale..
La durée de conservation des données doit être communiquée aux personnes concernées lors de leur collecte.
Toutefois les données à caractère personnel peuvent être conservées plus longtemps dans le cadre d’un traitement à des fins archivistiques, à des fins de recherche scientifique ou à des fins statistiques, pour autant que soient mises en place les mesures techniques garantissant les droits des personnes concernées.
La conservation des données comprend trois phases :
Ce principe implique la formalisation d’une politique de conservation, d’archivage et de purge des données.
la CNIL a élaboré quelques recommandations de durées de conservation qui peuvent servir de modèle en cas d’absence de durées légales : un mois pour des enregistrement de vidéosurveillance, 13 mois pour les cookies et la suppression les coordonnées d’un contact qui ne répond à aucune sollicitation depuis 3 ans, entre autres..
Privacy by design and by default : art. 25 RGPD
Le responsable du traitement doit mettre en place au moment de la détermination des moyens du traitement et au moment du traitement, des mesures techniques et organisationnelles qui permettent le respect du RGPD (Privacy by Design).
Ex : pseudonymisation, minimisation des données
Le responsable du traitement doit mettre en place des mesures qui permettent de garantir par défaut que le traitement est limité à ce qui est nécessaire (Privacy by Default). Cela s’applique à la quantité de données collectées, à leur utilisation, à leur durée de conservation et à leur accessibilité.
Appelé aussi principe de responsabilité.
Le responsable du traitement doit être capable de démontrer qu’il a mis en place des mesures techniques et organisationnelles pour assurer la conformité de tous les traitements.
Les principales obligations pour l’entreprise qui découlent de ce principe sont :
Le responsable du traitement comme le sous-traitant doivent mettre en place des techniques de protection (pseudonymisation, chiffrement des données) afin de garantir la sécurité des données.
Les risques pour la sécurité des données peuvent être la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées, ou l’accès non autorisé à ces données de manière accidentelle ou illicite.
Cette obligation de sécurité nécessite un contrôle régulier et une anticipation de scénarios éventuels.