RGPD Article 6 expose les principes juridiques de base qui interdisent tout traitement de données personnelles à moins qu'il ne soit fondé sur des stipulations légales spécifiques.
Licéité du traitement
- Le traitement n'est licite que si et dans la mesure où au moins l'un des éléments suivants s'applique :
- (a) la personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;
- (b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat ;
- (c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
- (d) le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- (e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- (f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont prévalus par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui nécessitent une protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s'applique pas aux traitements effectués par les autorités publiques dans l'exercice de leurs missions.- Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement en matière de traitement afin de se conformer aux points c) et e) du paragraphe 1 en déterminant plus précisément des exigences spécifiques pour le traitement et d'autres mesures visant à garantir un traitement licite et équitable, y compris pour d'autres situations de traitement spécifiques, comme prévu au chapitre IX.
- La base du traitement visé au paragraphe 1, points c) et e), est fixée par :
- a) le droit de l'Union; ou
- (b) le droit de l'État membre auquel le responsable du traitement est soumis.
La finalité du traitement est déterminée dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), est nécessaire à l'exécution d'une mission d'intérêt public ou dans l'exercice d'une mission officielle. autorité dévolue au responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques visant à adapter l'application des règles du présent règlement, notamment : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l'objet du traitement ; les personnes concernées ; les entités auxquelles et les finalités pour lesquelles les données personnelles peuvent être divulguées ; la limitation de la finalité ; périodes de stockage; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et équitable telles que celles pour d'autres situations de traitement spécifiques telles que prévues au chapitre IX. Le droit de l’Union ou le droit de l’État membre répond à un objectif d’intérêt public et est proportionné au but légitime poursuivi.
- Lorsque le traitement dans un but autre que celui pour lequel les données à caractère personnel ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur une loi de l'Union ou d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour sauvegarder les objectifs visés. à l'article 23, paragraphe 1, le responsable du traitement doit, afin de déterminer si le traitement réalisé pour une autre finalité est compatible avec la finalité pour laquelle les données à caractère personnel sont initialement collectées, prendre en compte, entre autres :
- (a) tout lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ;
- (b) le contexte dans lequel les données personnelles ont été collectées, notamment en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
- (c) la nature des données à caractère personnel, en particulier si des catégories particulières de données à caractère personnel sont traitées, conformément à l'article 9, ou si des données à caractère personnel liées à des condamnations pénales et à des infractions sont traitées, conformément à l'article 10 ;
- (d) les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
- (e) l'existence de garanties appropriées, qui peuvent inclure le cryptage ou la pseudonymisation.
Licéité du traitement
- Le traitement n'est licite que si et dans la mesure où au moins l'un des éléments suivants s'applique :
- (a) la personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;
- (b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat ;
- (c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
- (d) le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- (e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- (f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont prévalus par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui nécessitent une protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s'applique pas aux traitements effectués par les autorités publiques dans l'exercice de leurs missions.
La base du traitement visé au paragraphe 1, points c) et e), est fixée par le droit interne.
La finalité du traitement est déterminée dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), est nécessaire à l'exécution d'une mission d'intérêt public ou dans l'exercice d'une mission officielle. autorité dévolue au responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques visant à adapter l'application des règles du présent règlement, notamment : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l'objet du traitement ; les personnes concernées ; les entités auxquelles et les finalités pour lesquelles les données personnelles peuvent être divulguées ; la limitation de la finalité ; périodes de stockage; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et équitable telles que celles pour d'autres situations de traitement spécifiques telles que prévues au chapitre IX. Le droit interne doit répondre à un objectif d’intérêt public et être proportionné au but légitime poursuivi.- Lorsque le traitement dans un but autre que celui pour lequel les données personnelles ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit interne qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour sauvegarder [la sécurité nationale, la défense ou l'une des] Pour atteindre les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement prend en compte, afin de déterminer si le traitement réalisé pour une autre finalité est compatible avec la finalité pour laquelle les données à caractère personnel sont initialement collectées, prend en compte, entre autres :
- (a) tout lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ;
- (b) le contexte dans lequel les données personnelles ont été collectées, notamment en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
- (c) la nature des données à caractère personnel, en particulier si des catégories particulières de données à caractère personnel sont traitées, conformément à l'article 9, ou si des données à caractère personnel liées à des condamnations pénales et à des infractions sont traitées, conformément à l'article 10 ;
- (d) les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
- (e) l'existence de garanties appropriées, qui peuvent inclure le cryptage ou la pseudonymisation.
Nous sommes économiques et rapides
L'article 6 du RGPD décrit 7 facteurs qui contribuent à ce qu'il définit comme une « base légale du traitement » :
Dans cette section, nous parlons des articles 6 (1)(a), 6 (1)(b), 6 (1)(c), 6 (1)(d), 6 (1)(e), 6 ( 1)(f), 6 (2), 6 (3), 6 (4)(a), 6 (4)(b), 6 (4)(c), 6 (4)(d) et 6 ( 4)(e)
Selon la juridiction, les organisations peuvent devoir prouver que leurs activités de traitement des informations personnelles sont licites avant qu'ils ne commencent.
Pour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent :
Pour chaque point mentionné ci-dessus, les organisations doivent être en mesure de proposer une confirmation documentée.
Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à leur organisation dans leur système de classification des données (voir ISO 27701, clause 7.2.8) (les classifications peuvent varier d'une région à l'autre).
Si les organisations constatent des changements dans les raisons sous-jacentes du traitement des informations personnelles, cela doit être immédiatement reflété dans leur base juridique documentée.
Dans cette section, nous parlons de l'article 6 (4)(e) du RGPD.
Les organisations doivent soit détruire complètement toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.
Dès que l'organisation a établi que les informations personnelles n'ont plus besoin d'être traitées à aucun moment dans le futur, les informations doivent être supprimé or désidentifié, selon les circonstances.
| Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
|---|---|---|
| RGPD de l’UE, articles 6 (1)(a) à 6 (4)(e) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| Article 6 (4)(e) du RGPD de l’UE | ISO 27701 7.4.5 | Aucun |
La plateforme ISMS.online comprend des conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapter, Ajouter », ce qui facilite considérablement la démonstration de votre conformité au RGPD. Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.
En cartographiant votre travail selon plusieurs normes et cadres, notre plateforme intuitive facilite la réalisation de plusieurs objectifs en matière de sécurité des informations et de confidentialité des données.
Si, pour une raison quelconque, vous ressentez un manque de confiance, de capacité ou de volonté d'agir au cours de votre parcours vers le RGPD, nous pouvons mettre à votre disposition notre équipe d'experts internes ou recommander l'un de nos partenaires de confiance pour donner un coup de pouce à vos efforts.
En savoir plus par réserver une courte démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
