Série : Sécurité et confidentialité des données

Confidentialité des données

Adhérer aux principes de la protection des données

Pour respecter les principes du traitement des données, procédez comme suit :

  • Identifier et documenter la nécessité de traiter chaque catégorie de données à caractère personnel. Si vous ne pouvez pas identifier la nécessité du traitement des données, ne traitez pas les données. Une fois que vous avez identifié la nécessité de traiter les données, ne les traitez pour aucune autre raison que la nécessité identifiée.
  • Ne traiter que le minimum de données à caractère personnel nécessaires pour répondre à vos besoins et veiller à ce que les données soient adéquates pour le besoin identifié.
  • S'assurer que les données personnelles sont exactes. Si les données sont inexactes, assurez-vous que les mécanismes requis sont en place pour la mise à jour des données.
  • Traiter les données à caractère personnel uniquement pendant la période requise. Une fois que les données ne sont plus nécessaires, supprimez-les. Les calendriers de conservation des documents décrivent le traitement de chaque catégorie de données à caractère personnel.

    S'assurer que les données personnelles sont sécurisées

    La sécurité des données personnelles est prise en compte au même titre que la sécurité globale de l'application. Vous utilisez des techniques de codage sécurisées pour réduire le risque qu'un pirate compromette l'application et les données personnelles. Vous testez l'application à tous les niveaux et envisagez d'obtenir les services d'utilisateurs professionnels non autorisés pour tenter de compromettre l'application. Vous cryptez les données personnelles dans la mesure du possible. Vous veillez à ce que des contrôles d'accès appropriés soient mis en place de sorte que seules les personnes qui doivent accéder aux données à caractère personnel y aient accès.

    Permettre aux individus d'exercer leurs droits

    Lorsqu'une application traite les données personnelles d'une personne concernée, cette dernière dispose de droits spécifiques qui lui sont conférés par la réglementation relative à la protection de la vie privée. Pour répondre à la demande d'une personne, documenter où les données personnelles sont traitées dans l'application afin que la demande puisse être traitée efficacement.

    Les personnes concernées ont le droit d'accéder à leurs données. Vous vous assurez que des mécanismes sont en place pour fournir une copie des informations personnelles traitées par l'application. Les personnes concernées ont également le droit de demander que vous transfériez leurs données à une autre organisation ou à un autre dépôt de données. Si une telle demande est formulée, vous transmettez les données dans un format structuré et couramment utilisé. Les données personnelles traitées par l'application doivent être exactes et à jour. Si les données ne sont pas exactes et à jour, la personne concernée peut demander qu'elles soient rectifiées.

    Une personne concernée peut retirer son consentement, s'opposer au traitement de ses données ou en demander l'effacement. Vous devez mettre en place des mécanismes permettant de supprimer les données d'une personne. Une personne concernée peut également vous demander de cesser de traiter des données à caractère personnel pour une finalité déterminée. Dans ce cas, vous ne supprimez pas les données à caractère personnel, mais vous cessez de les traiter pour la finalité indiquée.

    Documenter la localisation géographique et l'accessibilité des données à caractère personnel

    Les réglementations en matière de protection de la vie privée fixent des restrictions quant au lieu de traitement des données à caractère personnel ou imposent des mécanismes appropriés pour le transfert de données en dehors d'un pays ou d'une région spécifique. Si vous traitez des données à caractère personnel en dehors du pays ou de la région où réside la personne concernée, vous devez identifier le mécanisme juridique approprié pour transférer les données vers un autre pays ou une autre région. Vos clients doivent informer leurs clients et les utilisateurs de l'endroit où les données sont traitées. Vous devez transmettre cette information à vos clients.

    Les organisations qui utilisent votre application doivent obtenir le consentement de la personne concernée d'une manière appropriée pour que le traitement des données à caractère personnel soit licite. En fonction de la nature de l'interaction des personnes concernées avec votre application, vous pouvez exiger un mécanisme pour obtenir leur consentement. Dans ce cas, vous devez consigner comment et quand ce consentement a été donné. Vous devez également disposer de mécanismes permettant de retirer ce consentement.

    Veillez à ce que des conditions contractuelles appropriées soient en place avec vos clients.

    Les réglementations en matière de protection de la vie privée établissent une distinction entre les organisations qui contrôlent les données et celles qui les traitent. Les responsables du traitement sont les organisations qui déterminent les objectifs et les méthodes de traitement des données personnelles. Les sous-traitants sont des organisations qui traitent des données à caractère personnel pour le compte du responsable du traitement. La plupart du temps, vous êtes un processeur de données et votre client est le contrôleur de données. Vous ne devez traiter les données à caractère personnel que sur instruction du responsable du traitement. Vous ou votre client devez créer un document juridique contenant ces instructions. Vous vous assurez d'avoir signé le document. 

    Sécurité des applications:Article précédent Article suivant : Addendum au traitement des données