Les principes sont clairement posés dans le règlement et peuvent se résumer ainsi : les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités :
- Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités (article 5, alinéa 1).
- Les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel (article 5, alinéa 1).
- Le responsable du traitement met en œuvre, à la détermination des moyens du traitement et au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (article 25, alinéa 1).
- Il met en œuvre les mesures techniques et organisationnelles pour garantir que seules les données nécessaires au regard de chaque finalité sont traitées (article 25, alinéa 2).
- Le responsable du traitement tient un registre des activités de traitement avec : – le nom et les coordonnées du responsable du traitement, – les finalités du traitement, – une catégorisation des données (article 30, alinéa 1).
Sur les aspects techniques (sécurité, interopérabilité), c’est la référence à l’état de l’art qui fait foi.
Date de rédaction de cette réponse : janvier 2018.