On distingue trois cas pour qu’un traitement soit licite, celui-ci doit répondre à une obligation légale, une finalité légitime ou un consentement de la personne concernée. Consentement de la personne concernée : celui-ci doit être volontaire, libre, spécifique, éclairé et univoque. Celui-ci doit être obtenu spécifiquement pour chaque finalité de traitement.

Le Responsable de traitement a l’obligation de veiller à ce que les données soient traitées aux seules finalités pour lesquelles elles ont été collectées. La conservation des données ne peuvent excéder la finalité prévue du traitement cependant pour des raisons légales les durées peuvent être conservées plus longtemps.

Le responsable de traitement veille à ne collecter que les informations strictement nécessaires et exactes au regard de la finalité du traitement (principe de proportionnalité).

Le responsable de traitement veille à ce que les données à caractère personnel n’ont pas été altérées durant le traitement ou la communication (de manière intentionnelle ou accidentelle). Il veille également à assurer la confidentialité en s’assurant que seules les personnes autorisées aient accès aux données.

L’Accountability est l’obligation pour le responsable de traitement de mettre en œuvre des mécanismes et procédures permettant de démontrer le respect des règles relatives à la protection des données. Il est important de documenter ces mécanismes et procédures.

Le délégué à la protection des données (DPO ou DPD) informe et conseille le responsable de traitement. Il veille au respect du Règlement général de protection des données, recense les activités de traitement, analyse et vérifie la conformité de ceux-ci. Le DPO assiste et conseille le responsable de traitement dans la mise en pratique d’analyse d’impact quand cela est nécessaire. Le DPO coopère avec l’autorité de protection des données et fait office de point de contact pour l’exercice des droits des personnes concernées. Il établit ou assiste le responsable de traitement ou le sous-traitant dans la mise en place d’un registre de traitements car celui-ci est considéré comme l’outil permettant au DPO d’effectuer ses missions de contrôle du respect du RGPD.

• Privacy By Design : Protection de la vie privée dès la conception, agir de manière préventive et proactive. Toute technologie traitant des données à caractère personnel doit garantir dès sa conception le plus haut niveau de protection. Cette protection doit être appliquée dans toutes les étapes (capture, traitement, transfert et communication) et faciliter la gestion de celles-ci grâce à des procédures faciles, disponibles et claires. • Privacy By Default : Garantir pour tous les traitements de données à caractère personnel, le plus haut niveau possible de protection par tous les moyens possibles (technologiques, physiques et organisationnels).

Des formations obligatoires de sensibilisation doivent êtres dispensées aux employés et collaborateurs qui traitent des données à caractère personnel.

Le responsable de traitement ou le sous-traitant s’assure de mettre en place un registre des activités de traitement de données à caractère personnel. Celui-ci constitue une vue d’ensemble des traitements effectués, il doit être mis à disposition de l’autorité de protection des données et maintenu à jour.

Le responsable de traitement doit encadrer les transferts de données hors de l’Union Européenne vers un pays qui a prouvé sa conformité ou qui bénéficie d’un accord de type « Clauses contractuelles type ».

Une étude d’impact doit être réalisée par le responsable de traitement lorsque le traitement risque d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Celle-ci doit être obligatoirement réalisée lorsque le traitement rencontre au moins deux critères énumérés dans l’article 35 du RGPD.

Plusieurs droits sont attribués aux personnes concernées à savoir : le droit à la portabilité, le droit d’accès, de consultation, de rectification, d’opposition, d’effacement et le droit à la limitation du traitement.

A l’occasion de l’adoption du RGPD, la Commission du respect de la vie privée a été rebaptisée « Autorité de protection des données », celle-ci obtient des compétences renforcées et devient une autorité administrative quasi-juridictionnelle indépendante.