Principes importants de la loi sur la protection des données

La loi sur la protection des données s'applique aux organisations professionnelles ou commerciales qui traitent des données au Royaume-Uni. Elle repose sur huit principes de protection des données et de sécurité des données.

Principes de la loi sur les données

(Principe 1) Utilisation équitable et légale, transparence

- Le principe 1 précise que toute entreprise ne peut collecter, traiter et conserver des données et informations personnelles que de manière équitable et transparente.

(Principe 2) Spécifique à l'usage prévu

- Le principe 2 précise que les responsables du traitement et les sous-traitants doivent collecter des données uniquement pour l’utilisation spécifique prévue pour laquelle la personne concernée a accordé son autorisation.

(Principe 3) Exigences minimales en matière de données

- Le principe 3 des 8 principes de la loi sur la protection des données précise que les responsables du traitement ne peuvent pas demander des informations par ailleurs non pertinentes. « Toutes les données détenues doivent être adéquates et pertinentes » selon la législation.

(Principe 4) Nécessité de précision

- Le principe 4 exige que les responsables du traitement vérifient périodiquement que les données détenues sont à jour et restent exactes. Au Royaume-Uni, en Europe et aux États-Unis, une période ne dépassant pas douze mois est considérée comme « acceptable ».

(Principe 5) Délai de conservation des données

- Le principe 5 détaille la durée pendant laquelle les responsables du traitement sont autorisés à conserver les données des personnes concernées. Si aucun retrait de consentement n'est reçu, les données peuvent être stockées à perpétuité en vertu du RGPD car aucune déclaration n'est donnée en vertu du règlement concernant une limite de temps spécifique pour le stockage des données, à condition que le responsable du traitement maintienne un « raisonnement équitable » tel que défini par le Information Commissioner's Office (ICO).

(Principe 6) Le droit à l’oubli

- En vertu du principe 6 de la LPD, les personnes concernées ont le droit de savoir précisément quelles données personnelles sont détenues à leur sujet et ont ensuite le droit d'empêcher l'utilisation de ces données.

(Principe 7) Assurer la sécurité des données

- Le principe 7 stipule que des mesures adéquates de protection des données sont prises et que la responsabilité de ces mesures incombe au responsable du traitement des données dans le cadre des « bonnes pratiques de gouvernance des données ». Un système et un réseau sécurisés, « robustes contre les attaques », doivent être mis en œuvre et le niveau de sécurité doit être adapté à l'entreprise.

(Principe 8) Responsabilité

- Le principe 8 de la DPA précise que les entreprises et organisations du Royaume-Uni qui sont responsables du traitement des données doivent démontrer qu'elles respectent les huit principes de la DPA et qu'elles s'acquittent de leurs obligations légales. Elles doivent également démontrer qu'elles ont mis en place des mesures de sécurité appropriées en cas de violation de données et qu'elles conservent des enregistrements de leur traitement des données.

Bureau du Commissaire à l'information (ICO)