Email : info@pog.lu
La protection des données personnelles et de la vie privée est un droit fondamental strictement encadré par la réglementation. Elle est une condition importante de la confiance des membres et donc de la réputation du POG. Une donnée personnelle est une donnée se rapportant à une personne physique. Cette personne peut être :
Chaque fois que des personnes peuvent être identifiées, la loi sur la protection des données personnelles s'applique. On considère qu'une personne est identifiable :
Le concept de "traitement de données personnelles" est très large. D’une manière générale, tout ce que l’on peut faire à partir de données est un acte de traitement, que des systèmes informatiques soient utilisés ou non (le traitement papier est aussi visé), y inclus la collecte, l’enregistrement, le simple stockage, la consultation, l’utilisation, la communication, l’archivage ou la destruction.
Licéité et loyauté
Loyauté : Ce qui est traité doit correspondre à ce qui a été décrit à la personne concernée. Cette information claire lui permet de donner son consentement.
Licéité : le traitement doit satisfaire à au moins une des conditions de l’article 6 du RGPD, voir ci-dessous :
Transparence
Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement). Il convient de bien identifier le responsable du traitement.
Limitation des finalités
Les données personnelles ne peuvent être obtenues que pour des « finalités déterminées, explicites et légitimes » (article 5.1.b). Les données ne peuvent être utilisées qu’à des fins de traitement spécifiques dont le sujet a été informé et aucune autre, sans autre consentement.
Minimisation des données
Les données recueillies sur un sujet doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.c). En d’autres termes, la quantité minimale de données doit être recueillie et conservée pour un traitement spécifique.
Exactitude (qualité des données)
Les données doivent être « exactes et, si nécessaire, tenues à jour » (article 5.1.d). Il incombe aux détenteurs de données de créer des processus de rectification et suppression dans les bases de données des données des sujets. Ce qui rejoint le principe du droit d’accès et ses composantes.
Droits d’accès, de rectification, de suppression et d’objection
Par le droit d’accès, les personnes concernées sont en droit d’obtenir la communication des informations personnelles les concernant, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique.
Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés.
Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle.
Limitation de la conservation
Le régulateur s’attend à ce que les données personnelles soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.e). En d’autres mots, les données qui ne sont plus requises doivent être supprimées.
Intégrité et confidentialité
Le responsable du traitement des données personnelles doit en garantir la sécurité, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » (article 5.1.f).
Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé.
Toute personne agissant sous l’autorité du responsable du traitement, y compris ses propres sous-traitants, ne doit traiter les données que sur ses instructions.
C’est un sujet large, particulièrement sensible et technique.
Responsabilité (accountability)
Le responsable du traitement des données doit être capable de démontrer sa conformité avec la totalité des autres principes. (article 5.2). Cela passe notamment par la tenue de registres de traitement et les éventuelles études d’impact sur la vie privée (Privacy Impact Assessments)
Copyright © 2019 - Website by kosmo.lu