Le responsable du traitement est responsable du respect des principes susmentionnés et doit pouvoir en démontrer le respect.
A savoir
Principes
Les principes légaux régissant le traitement des données personnelles et assurant leur protection sont à appliquer systématiquement. Ils sont pour l'essentiel les suivants:
Au sens de la LIPAD (art. 35 ss)
Le traitement de données personnelles ne peut se faire que si l’accomplissement des tâches légales de l’Université de Genève le rend nécessaire.
Par exemple : l’Université de Genève peut collecter les données personnelles de ses étudiants-es car cela est nécessaire à l’accomplissement de sa mission d’enseignement.
Les données collectées ne peuvent être traitées que dans le but qui a été communiqué lors de leur collecte, qui découle des circonstances ou qui est prévu par la loi. Les données collectées ne peuvent ensuite pas à être utilisées à d’autres fins.
Par exemple : une adresse e-mail qui a été collectée auprès d’un-e participant-e dans le cadre d’un projet de recherche ne peut pas être réutilisée pour créer une liste de diffusion d’une newsletter à laquelle ce/cette participant-e n’aurait pas adhéré.
Seules les données qui sont nécessaires et qui sont aptes à atteindre l’objectif fixé peuvent être traitées. De plus, le traitement ne doit pas durer plus que nécessaire.
Par exemple : l’UNIGE ne peut pas faire figurer l’opinion politique d’un-e collaborateur-trice dans la base de données RH, car cette information n’est pas pertinente pour l’employeur.
La collecte de données personnelles doit être faite de manière reconnaissable pour la personne concernée. Il n’est ainsi pas permis de collecter des données personnelles sans que la personne concernée en ait connaissance, ni contre son gré.
Par exemple : lorsque vous souhaitez filmer une conférence réalisée à l’UNIGE, il convient d’en informer le public au préalable.
Quiconque traite des données personnelles doit s’assurer qu’elles sont exactes. Ce terme signifie également que les données doivent être complètes et aussi actuelles que les circonstances le permettent. La personne concernée peut demander la rectification de données inexactes.
Par exemple : la base de données RH des collaborateurs-trices doit être tenue à jour.
Le principe de sécurité exige non seulement que les données personnelles soient protégées contre tout traitement illicite et tenues confidentielles, mais également que l’institution en charge de leur traitement s’assure que les données personnelles ne soient pas perdues ou détruites par erreur. C’est au responsable du traitement qu’il incombe d’assurer la sécurité en prenant des mesures adaptées aux risques concrets et à la nature des données.
Par exemple : les dossiers papier comprenant des données personnelles ne doivent pas être librement accessibles à tout un chacun, mais gardés sous clé.
► Pour en savoir plus, voir la Fiche-info sur la sécurité des données du PPDT.
L’Université de Genève doit détruire ou rendre anonymes les données personnelles dont elle n’a plus besoin pour accomplir ses tâches légales, dans la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi.
Ce principe touche précisément le droit à l’oubli, selon lequel, dans un cas particulier, certaines informations n’ont plus à faire l’objet d’un traitement par l’Université de Genève.
Par exemple : les données personnelles collectées afin de permettre l’inscription à un évènement organisé par l’UNIGE doivent être détruites au plus tard à la fin de l’évènement.
Au sens du RGPD (art. 5)
Un traitement de données personnelles ne peut être effectué par une autorité publique que si au moins une des 5 conditions suivantes est remplie:
- la personne concernée a consenti à ce traitement;
- il est nécessaire pour l’exécution d’un contrat dont la partie concernée est cocontractante ou pour l’exécution de mesures précontractuelles prises à la demande de cette dernière;
- il est nécessaire pour respecter une obligation légale qui incombe au responsable de traitement;
- il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
- il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement.
NB: le traitement nécessaire aux fins d'intérêts légitimes prépondérants (6ème condition) ne s'applique pas aux traitemets effectués par les autorités publiques.
Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Cette finalité permet de déterminer notamment la durée de conservation, la pertinence des données collectées et le cercle des personnes autorisées à y avoir accès.
Seules les données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité peuvent être traitées.
Les données personnelles traitées doivent être exactes et, si nécessaire, tenues à jour.
Les données personnelles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Les données personnelles doivent être traitées de manière à garantir leur sécurité, y compris la protection contre le traitement non-autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.