Concernant la protection (Privacy by design et Privacy by default), existe-t-il un socle de préconisations opposable à un éditeur ou à un développeur ?

Les principes sont clairement posés dans le règlement et peuvent se résumer ainsi : les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités :

  • Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités (article 5, alinéa 1).
  • Les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel (article 5, alinéa 1).
  • Le responsable du traitement met en œuvre, à la détermination des moyens du traitement et au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (article 25, alinéa 1).
  • Il met en œuvre les mesures techniques et organisationnelles pour garantir que seules les données nécessaires au regard de chaque finalité sont traitées (article 25, alinéa 2).
  • Le responsable du traitement tient un registre des activités de traitement avec : – le nom et les coordonnées du responsable du traitement, – les finalités du traitement, – une catégorisation des données (article 30, alinéa 1).

Sur les aspects techniques (sécurité, interopérabilité), c’est la référence à l’état de l’art qui fait foi.

Date de rédaction de cette réponse : janvier 2018.

Les commentaires sont fermés.