Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement, responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.

Seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité.

3. Le principe de pertinence des données

Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.

 4. Le principe de durée limitée de conservation des données

C’est ce que l’on appelle le droit à l’oubli.

Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.

Au-delà, les données peuvent être archivées, sur un support distinct.

La durée de conservation déclarée dans le registre du CIL doit correspondre à la période durant laquelle les données restent accessibles ou consultables, par opposition avec la période d’archivage des données pendant laquelle celles-ci ne sont plus destinées à être utilisées et sont de ce fait, conservées sur un support distinct au sein d’un service d’archives.

Se reporter à l’instruction ministérielle sur l’archivage (référence : DAF DPACI/RES/2005/003 du 22 février 2005).

5 .Le principe de sécurité et de confidentialité

Le responsable du traitement, est astreint à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation :

• Les données contenues dans les fichiers ne peuvent être consultées que par les services habilités à y accéder en raison de leurs fonctions.

• Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. S’il est fait appel à un prestataire externe, des garanties contractuelles doivent être envisagées.

• Les mesures de sécurité, tant physique que logique, doivent être prises. (par ex : Protection anti-incendie, copies de sauvegarde, installation de logiciel antivirus, changement fréquent des mots de passe alphanumériques d’un minimum de 8 caractères.)

• Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.

 6. Le principe de transparence

La loi garantit aux personnes l’information nécessaire relative aux traitements auxquels sont soumises des données les concernant et les assure de la possibilité d’un contrôle personnel. Le responsable du traitement de données personnelles doit avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers.

 7. Le principe du respect du droit des personnes

7.1 Informer les intéressés

Lors de l’informatisation de tel ou tel service, ou lorsque des données sont recueillies par exemple par voie de questionnaires, les usagers concernés et le personnel de l’organisme doivent être informés de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice des droits qui leur sont ouverts au titre de la loi "Informatique et Libertés" : droit d’accès et de rectification mais aussi, droit de s’opposer, sous certaines conditions, à l’utilisation de leurs données. Voir la rubrique correspondante.

Cette information doit être diffusée, par exemple, au moyen d’affiches apposées dans les services recevant du public, de mentions portées sur les formulaires de collecte papier et électroniques, ainsi que sur les courriers et courriels adressés aux personnes dont les données sont collectées. Des modèles de mentions d’information sont disponibles sur le site. Voir la rubrique "Modèles de messages d’information"

7.2 Les droits d’accès et de rectification

Toute personne peut demander communication de toutes les informations la concernant contenues dans un fichier détenu par l’établissement et a le droit de faire rectifier ou supprimer les informations erronées.

Voir l’article "Droit d’accès" Voir l’article "Droit de rectification"

7.3 Le droit d’opposition

Toute personne a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire.

Voir l’article "Droit d’opposition"

​