Le RGPD, quelles données peut-on traiter et sous quelles conditions?

Les données comptables sont impactées par le RGPD

Le type et la quantité de données à caractère personnel qu’une entreprise/organisation peut traiter dépendent de la raison pour laquelle elles sont traitées (raison juridique utilisée) et du but dans lequel elles le sont. L’entreprise/organisation doit respecter plusieurs règles essentielles, notamment les suivantes:

• les données à caractère personnel doivent être traitées de manière licite et transparente, en garantissant la loyauté envers les personnes dont les données à caractère personnel sont traitées («licéité, loyauté et transparence»);
• il doit y avoir des finalités spécifiques pour traiter les données et l’entreprise/organisation doit indiquer ces finalités aux personnes concernées lorsqu’elle collecte leurs données à caractère personnel; une entreprise/organisation ne peut pas simplement collecter des données à caractère personnel pour des finalités non déterminées («limitation des finalités»)
• l’entreprise/organisation ne peut collecter et traiter que les données à caractère personnel qui sont nécessaires pour atteindre ces finalités («minimisation des données»);
• l’entreprise/organisation doit s’assurer que les données à caractère personnel sont exactes et tenues à jour au regard des finalités pour lesquelles elles sont traitées, et les corriger le cas échéant («exactitude»);
• l’entreprise/organisation ne peut plus utiliser les données à caractère personnel pour d’autres finalités qui ne sont pas compatibles avec la finalité pour laquelle elles ont été initialement collectées;
• l’entreprise/organisation doit s’assurer que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées («limitation de la conservation»);
• l’entreprise/organisation doit mettre en place des mesures techniques et organisationnelles appropriées qui garantissent la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de la technologie appropriée («intégrité et confidentialité»).