Comprendre le RGPD : cadre et principes
Module 1 / 5
1.3 Les 7 principes fondamentaux du RGPD
L'article 5 du RGPD énonce sept principes qui forment la colonne vertébrale du texte. Chaque action de l'entreprise sur des données personnelles doit pouvoir être rattachée à ces principes. Les connaître permet d'évaluer en quelques secondes si une pratique est conforme — ou s'il faut alerter.
Licéité, loyauté et transparence
Toute collecte de données doit reposer sur une base légale clairement identifiée (cf. Module 2), être réalisée de manière loyale (sans tromper la personne) et faire l'objet d'une information préalable compréhensible.
Conforme
Un formulaire de candidature qui indique clairement : « Vos données sont collectées par [société X] pour gérer votre candidature, conservées 2 ans, vous pouvez exercer vos droits auprès de [contact DPO]. »
Non conforme
Une caméra de vidéosurveillance installée discrètement « pour observer le rendement » sans information du personnel ni consultation du CSE. Sanction CNIL très probable.
Limitation des finalités
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être utilisées ultérieurement de manière incompatible. C'est l'un des principes les plus violés en pratique.
Exemple : le badge d'accès
Un badge d'accès est collecté pour la sécurité des locaux. Le réutiliser pour contrôler les heures de pause ou évaluer la productivité constitue un détournement de finalité — sauf nouvelle base légale et information complète des salariés.
Minimisation des données
Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité. Le réflexe « on collecte au cas où » est explicitement interdit.
| Finalité | Donnée nécessaire | Donnée excessive |
|---|---|---|
| Verser un salaire | Nom, IBAN, NIR, qualification, taux horaire | Photo, situation familiale détaillée, opinion politique |
| Annuaire interne | Nom, fonction, e-mail pro, téléphone pro | Date de naissance, adresse personnelle, état de santé |
| Recrutement | Parcours, compétences, prétentions | Origine ethnique, religion, situation matrimoniale |
Exactitude
Les données doivent être exactes et tenues à jour. Toute donnée inexacte doit être effacée ou rectifiée sans délai. Ce principe sous-tend le droit de rectification (cf. Module 3).
Exemple : un dossier de paie qui n'a pas été mis à jour après un changement de domicile, un mariage ou une naissance n'est pas seulement administrativement gênant — il viole l'article 5-1-d du RGPD.
Limitation de la conservation
Les données ne doivent être conservées que le temps strictement nécessaire à la finalité. Au-delà, elles doivent être supprimées ou archivées (avec accès restreint).
CV non retenus
2 ans maximum après le dernier contact (recommandation CNIL)
Bulletins de paie
5 ans (Code du travail) — durée de prescription des cotisations
Vidéosurveillance
1 mois maximum sauf incident (doctrine CNIL)
Logs de connexion
6 mois maximum (sauf obligation légale anti-fraude)
Dossier salarié
5 ans après départ (durée prescription contractuelle)
Géolocalisation véhicule
2 mois maximum (recommandation CNIL)
Ces durées sont indicatives — voir le référentiel CNIL « Gestion des ressources humaines » et la doctrine sectorielle.
Intégrité et confidentialité (sécurité)
Les données doivent être protégées contre l'accès non autorisé, la perte, la destruction ou l'altération par des mesures techniques et organisationnelles appropriées (article 32 RGPD). Le RGPD n'impose pas de mesure spécifique mais une obligation de résultat proportionnée au risque.
Mesures techniques
- Chiffrement (TLS, disques chiffrés, sauvegardes chiffrées)
- Authentification forte (MFA), gestion des mots de passe
- Cloisonnement des accès (principe du moindre privilège)
- Sauvegardes régulières testées
- Anti-virus, EDR, mises à jour de sécurité
- Journalisation et détection d'incidents
Mesures organisationnelles
- Charte informatique signée
- Politique de sécurité des systèmes d'information (PSSI)
- Sensibilisation et formation des salariés
- Procédure de gestion des départs (révocation des accès)
- Plan de continuité et de reprise (PCA / PRA)
- Procédure de réponse aux incidents
Responsabilité (Accountability)
Le responsable de traitement doit non seulement respecter les six principes ci-dessus, mais aussi être en mesure de démontrer qu'il les respecte. C'est la révolution juridique du RGPD : l'inversion de la charge de la preuve.
Outils de la conformité documentée
- Registre des traitements (Art. 30) — recense l'ensemble des activités de traitement
- AIPD / DPIA — analyse d'impact pour les traitements à risque élevé
- Politique de protection des données et procédures internes
- Contrats de sous-traitance conformes à l'article 28
- Mentions d'information et formulaires de recueil du consentement
- Traces des demandes d'exercice de droits et de leur suivi
En cas de contrôle CNIL, l'absence de ces documents constitue à elle seule un manquement, indépendamment du fait que le traitement soit licite ou non sur le fond.