Art. 25
1. Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en oeuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
2. Le responsable du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.
3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément attestant du respect des exigences énoncées aux paragraphes 1 et 2 du présent article.
|
1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée.
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l’ensemble des secteurs, produits et services.
4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
|
1. (...) Compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité du risque présenté par le traitement au regard des droits et des libertés des personnes physiques, les responsables du traitement appliquent (…) des mesures techniques et organisationnelles appropriées pour l'activité de traitement menée et ses objectifs, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et (…) assure la protection des droits de la personne concernée.
2. Le responsable du traitement met en œuvre les mesures appropriées pour garantir que, par défaut, seules (…) les données à caractère personnel (…) qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées; cela s'applique à la quantité de (…) données collectées, à l'étendue de leur traitement, à leur période de conservation et à leur accessibilité. Lorsque le traitement n'a pas pour finalité de fournir des informations au public, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques, sans intervention humaine.
2 bis. Un mécanisme de certification approuvé conformément à l'article 39 peut être utilisé comme moyen de démontrer le respect des exigences visées aux paragraphes 1 et 2.
3. (…)
4. (…)
|
Aucune disposition correspondante
|
Aucune disposition correspondante. La loi du 6 janvier 1978 n’est pas complète puisqu’elle ne mentionne pas tous les nouveaux droits ou obligations posés par le RGPD, pourtant également applicables (exemple : droit à la portabilité, obligation de réaliser des analyses d’impact, etc.).
|
Aucune disposition correspondante
|