Consentement:

-        Univoque: non pas par manque d'action (case cochée par défaut..)

-         Droit d'annuler son consentement à tout moment

-        Consentement parental  exigé pour les mineurs (13-15 ans selon l'état de l'union)

-        Le consentement doit être lié à la finalité

-        Le consentement au traitement doit être dissociable et clair.

-        L’offre de services ne peut pas être subordonnée à l’obtention du consentement s’il n’est pas nécessaire à la fourniture dudit service.

-        Les personnes concernées soient informées de leur droit de retirer leur consentement à tout moment avec la mise en place des méthodes simples le permettant.

Transparence:

-        Fourniture de l'information d'une manière concise, compréhensible et aisément accessible aux personnes concernées.

-        Notification des violations de données à caractère personnel : obligation envers les autorités de contrôle et les personnes concernées.

-        Les données doivent être licites – avec une exactitude

-        Un lien clair avec la finalité d’où une minimisation des données (pas d’info sans liens avec la finalité)

Protection:

-        Le processus de protection commence à partir du design et doit avoir un responsable et un accountable

-        Protection en processus continu : en cas de traitement à risque élevé, une étude d'impact sur la vie privée détaillée (EIVP-PIA) devra être entreprise et documentée.

-        Au cas où l'étude aboutirait à un risque élevé et non atténuée il faut informer l'autorité de contrôle et obtenir son avis sur l'adéquation des mesures proposées par la PIA.

-        Désigner un DPO délégué à la protection des données selon la taille de l’organisme (obligatoire pour les organismes publics)

-        Garantie de protection :

o      Pseudonymisation : séparation entre pseudonyme et données personnelles

o      Chiffrement

-        Droit à l'oubli numérique – qualifié droit à l’effacement.

-        Droit à la limitation de traitement des données

-        Droit à la portabilité des données

-        Droit à l'opposition aux prises de décision automatisées

 

Données personnelles:

-        Qualification de données sensibles couvre les données génétiques et bio métriques.

-        L'adresse IP est une donnée à caractère personnel du moment où elle entre dans la création du profil

-        Les données sensibles sont régies par des conditions plus strictes dans la création et le traitement

Autorité de Contrôle:

-        Comité européen de protection des données.

 

Finalité :

-        Lien entre durée et finalité - Intégrité et confidentialité et Responsabilité

-        Compatibilité entre finalité nouvelle et finalité origine de collecte des données

 

1. Le fichier modèle.