Lorsque nous traitons des données à caractère personnel, nous sommes tenus de suivre plusieurs principes afin de protéger les droits et libertés fondamentales des individus selon les dispositions prévues par les BCR. Chaque entité doit observer les principes suivants dans le cadre du traitement de données à caractère personnel :
Principe 1: la licéité
Vous devez pouvoir présenter un motif légal documenté au moment de la collecte, de l’utilisation, et du traitement de données à caractère personnel. Il existe une liste limitative de ces motifs légaux. Quelques exemples sont :
- le traitement des données à caractère personnel est nécessaire à l’exécution d’un contrat passé avec l’individu (par exemple un contrat de travail ou de vente)
- l’individu a donné son autorisation/consentement
- les intérêts légitimes de Fresenius sont plus importants que les conséquences négatives possibles pour les individus concernés
- le devoir de satisfaire à d’autres obligations légales, p. ex. dans le cadre de lois fiscales, d’exigences en matière de pharmacovigilance, ou d’exigences en matière de qualité.
Certaines catégories spéciales de données, telles que les données relatives à la santé, nécessitent des motifs légaux supplémentaires. Si des lois locales requièrent des dispositions supplémentaires ou divergentes, ces dernières doivent également être observées (par exemple, dans certains cas, cela vaut pour les données des employés).
Principe 2: la transparence et la loyauté
Traitez les données à caractère personnel de manière loyale et transparente. Informez les individus concernés avant et au moment de la collecte et de l’utilisation de leurs données à caractère personnel sur les points suivants :
- qui en est responsable et comment entrer en contact avec nous
- quelles données sont collectées
- comment les données sont collectées
- pourquoi nous avons besoin de ces données (finalité)
- avec quels organismes ces données seront partagées
- si ces données seront partagées avec d’autres pays
- pendant combien de temps les données seront conservées
- motif légal de la collecte et de l’utilisation de ces données, en fournissant une explication à ce sujet (voir principe 1)
- si les individus concernés sont profilés
- si nous prenons une quelconque décision au moyen de méthodes automatisées
- si les données doivent être fournies et de ce qui arrivera si elles ne le sont pas
- coordonnées du DPO et de l’autorité de contrôle
- droits dont jouissent les individus concernés.
Toutes ces informations doivent être fournies de manière claire, exhaustive, et dans un format facile d’accès, via un langage concis et clair.
Principe 3: la limitation de la finalité
N’utilisez les données à caractère personnel qu’aux fins spécifiées, explicites, et légitimes pour lesquelles elles ont été collectées. En faire une autre utilisation n’est pas autorisé, à moins que l’autre utilisation en question soit en accord avec la finalité initiale et/ou que des mesures supplémentaires soient prises. Les finalités de traitement supplémentaire étant généralement considérées comme étant en accord avec la finalité initiale sont :
- l'archivage
- des audits internes
- des enquêtes.
Le (L)DPA sera en mesure de vous guider quant au caractère autorisé ou non autorisé du changement de finalité. Si le changement de finalité est permis, les individus concernés doivent être informés dudit changement.
Principe 4: la minimisation des données
Ne collectez et n’utilisez des données à caractère personnel que dans la mesure nécessaire à la finalité définie telle qu’elle a été communiquée à l’individu concerné. Cela implique de s’assurer que les données à caractère personnel collectées sont cohérentes, pertinentes, et non excessives au vu de la finalité.
Principe 5: l’exactitude
Assurez-vous que les données à caractère personnel collectées sont exactes et à jour. Des procédures doivent être mises en place pour assurer la suppression, la correction, ou la mise à jour de données inexactes ou incomplètes sans délai.
Principe 6: la limitation des durées de conservation
Ne conservez pas les données à caractère personnel plus longtemps que cela n’est nécessaire pour leur finalité, à moins que cela ne soit requis par la loi. Dans un tel cas, l’accès aux données concernées doit être soumis à des restrictions. Supprimez ou anonymisez les données à caractère personnel s’il n’existe plus aucun motif légal ou aucune finalité.
Principe 7: la sécurité, l’intégrité, et la confidentialité
Prenez les mesures techniques et organisationnelles nécessaires afin de protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation, ou l’accès non-autorisé (par exemple via des rôles appropriés & un système de droits, des sauvegardes, des restaurations, ou encore le cryptage des données).
Lorsque vous mettez en œuvre de telles mesures, il est nécessaire de prendre en compte les risques auxquels l’individu peut être exposé. La sécurité des systèmes informatiques doit être évaluée en prenant ces risques en compte lors de leur installation et leur maintenance.
Documentez et signalez au service de protection des données toute faille dans la sécurité qui pourrait résulter en un risque pour les individus concernés. En fonction de la situation, de telles failles doivent également être portées à l’attention de l’autorité de contrôle, des individus concernés, et d’autres services.
Principe 8: la responsabilisation
Soyez en mesure de prouver votre respect des BCR. Ceci est possible via la création et la mise à jour de la documentation appropriée, par exemple :
- des comptes rendus des activités de traitement
- des comptes rendus des mesures techniques et organisationnelles mises en œuvre pour satisfaire aux principes de protection de données et prévenir les risques ou y remédier
- des comptes rendus d’évaluation et de contrôle des risques en matière de protection de données
Engagement de Sous-traitants
Ne commissionnez des sous-traitants pour le traitement des données que s’ils sont en mesure de fournir des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées de telle manière que leur méthode de traitement des données satisfera aux exigences de nos BCR et à celles de lois locales concernant la protection des données. Cela doit être garanti via un contrat de protection des données signé par l’entité concernée et le sous-traitant.
Transferts (ultérieurs) de données à caractère personnel
Mettez en œuvre des mesures permettant la protection adéquate des processus de transfert des données à caractère personnel à d’autres organisations situées hors de l’EEE en accord avec ces BCR. Cela peut être fait via l’acceptation mutuelle, avec l’organisation concernée, de clauses contractuelles standard telles qu’elles sont adoptées par la Commission européenne.