Obligation générale de sécurité et de confidentialité 

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d’information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès. 

Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service. 

Ainsi, il est tenu de limiter la quantité de données traitée dès le départ (principe dit de « minimisation ») et doit démontrer cette conformité à tout moment. 

L’accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.). 

Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles. 

Les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé, ou de la sécurité publique mis en œuvre pour le compte de l’État). 

Obligation d’information 

L’entreprise qui détient des données personnelles doit informer la personne concernée de : 

L’identité du responsable du fichier 

La finalité du traitement des données 

Le caractère obligatoire ou facultatif des réponses 

Les droits d’accès, de rectification, d’interrogation et d’opposition Les transmissions des données. 

L’exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations, et notamment : 

Recueillir l’accord des clients 

Informer les clients de leur droit d’accès, de modification et de suppression des informations collectées 

Veiller à la sécurité des systèmes d’information

Assurer la confidentialité des données Indiquer une durée de conservation des données.