Les principes RGPD de l’Art. 5 ne sont pas de simples déclarations d’intention. Ce sont des obligations juridiques directement sanctionnables : la CNIL a infligé 301 millions d’euros d’amende à Criteo (Délibération n°SAN-2023-015, 15 juin 2023) principalement pour violations des principes de licéité et de transparence. Ce guide détaille chacun des sept principes avec des exemples pratiques et les sanctions qui en découlent.
Points Clés
- L’Art. 5 RGPD énonce sept principes obligatoires pour tout traitement de données personnelles, chacun directement sanctionnable jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
- Le principe d’accountability (Art. 5(2)) inverse la charge de la preuve : c’est au responsable de traitement de démontrer sa conformité, pas à l’autorité de prouver l’infraction.
- Chaque principe s’accompagne d’obligations documentaires concrètes qui doivent figurer dans le registre des traitements.
- La violation d’un seul principe suffit à caractériser un manquement, même si les autres sont respectés.
Principe 1 : Licéité, loyauté et transparence (Art. 5(1)(a))
L’Art. 5(1)(a) RGPD impose trois exigences cumulatives. La licéité requiert que chaque traitement repose sur l’une des six bases juridiques de l’Art. 6(1) RGPD. La loyauté interdit tout traitement trompeur ou dissimulé. La transparence oblige à informer les personnes concernées de manière claire et accessible (Art. 12 à 14 RGPD).
Exemple pratique : une application mobile qui collecte des données de géolocalisation en arrière-plan sans en informer l’utilisateur viole simultanément les trois composantes. La CNIL a sanctionné Google LLC à hauteur de 150 millions d’euros (Délibération n°SAN-2021-024, 31 décembre 2021) pour, entre autres, un défaut de transparence dans le mécanisme de refus des cookies.
En pratique, la transparence impose de rédiger une politique de confidentialité conforme aux Art. 13 et 14 RGPD, rédigée dans un langage clair et facilement accessible.
Principe 2 : Limitation des finalités (Art. 5(1)(b))
L’Art. 5(1)(b) RGPD exige que les données soient collectées pour des finalités déterminées, explicites et légitimes. Toute réutilisation ultérieure incompatible avec les finalités initiales constitue une violation.
Exemple pratique : une société de e-commerce collecte des adresses email pour la livraison. Les utiliser ensuite pour de la prospection commerciale sans consentement spécifique viole ce principe. La CJUE a précisé dans l’arrêt C-252/21 (7 mars 2024) que l’appréciation de la compatibilité doit tenir compte du lien entre les finalités, du contexte de collecte, de la nature des données, des conséquences pour les personnes et de l’existence de garanties appropriées.
Le responsable de traitement doit documenter chaque finalité dans son registre des traitements conformément à l’Art. 30 RGPD. Une finalité vague comme « amélioration des services » est insuffisante. Pour un approfondissement de ce principe, consultez notre article sur la limitation des finalités RGPD.
Principe 3 : Minimisation des données (Art. 5(1)©)
L’Art. 5(1)© RGPD impose que les données soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. Ce principe a un impact direct sur la conception des formulaires, des bases de données et des processus de collecte.
Exemple pratique : un employeur qui exige la copie intégrale de la carte d’identité de tous les candidats à un poste alors que seule la vérification du droit à travailler est nécessaire collecte des données excessives. La CNIL a sanctionné Clearview AI de 20 millions d’euros (Délibération n°SAN-2022-023, 20 octobre 2022) notamment pour collecte massive et indiscriminée de photographies sur Internet.
La mise en oeuvre opérationnelle passe par un audit des formulaires existants, la suppression des champs non indispensables et l’application du privacy by design au sens de l’Art. 25 RGPD.
Principe 4 : Exactitude (Art. 5(1)(d))
L’Art. 5(1)(d) RGPD exige que les données soient exactes et, si nécessaire, tenues à jour. Le responsable de traitement doit prendre toutes les mesures raisonnables pour que les données inexactes soient effacées ou rectifiées sans retard.
Exemple pratique : un organisme de crédit qui conserve une inscription erronée de défaut de paiement dans un fichier d’incidents bancaires viole ce principe. La personne concernée peut exercer son droit de rectification (Art. 16 RGPD) et, en cas de refus injustifié, saisir la CNIL.
En pratique, ce principe impose des procédures de mise à jour régulières, un mécanisme de signalement des inexactitudes et des contrôles de qualité des données. Pour un approfondissement, consultez notre guide sur l’exactitude des données RGPD.
Principe 5 : Limitation de la conservation (Art. 5(1)(e))
L’Art. 5(1)(e) RGPD interdit la conservation des données sous une forme permettant l’identification au-delà de ce qui est nécessaire au regard des finalités du traitement. Ce principe oblige à définir des durées de conservation pour chaque catégorie de données.
Exemple pratique : conserver indéfiniment les données de clients inactifs depuis plus de trois ans sans justification légale ou contractuelle viole ce principe. La CNIL a infligé 800 000 euros d’amende à Infogreffe (Délibération n°SAN-2022-018, 8 septembre 2022) pour avoir conservé des données de comptes pendant des durées manifestement excessives.
La conformité exige de définir une politique de durée de conservation des données, d’intégrer des mécanismes d’archivage intermédiaire et de purge automatisée, et de documenter ces durées dans le registre.
Principe 6 : Intégrité et confidentialité (Art. 5(1)(f))
L’Art. 5(1)(f) RGPD impose une protection appropriée des données contre le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts accidentels. Ce principe est le fondement des obligations de sécurité détaillées à l’Art. 32 RGPD.
Exemple pratique : stocker des mots de passe en clair dans une base de données, transmettre des données de santé par email non chiffré ou ne pas corriger une vulnérabilité connue constituent des violations. La CNIL a sanctionné la société Dedalus Biologie de 1,5 million d’euros (Délibération n°SAN-2022-009, 15 avril 2022) après une fuite massive de données de santé résultant de défauts de sécurité élémentaires.
Les mesures attendues incluent le chiffrement, la pseudonymisation, le contrôle d’accès, les tests d’intrusion réguliers et la notification des violations dans les 72 heures (Art. 33 RGPD).
Principe 7 : Responsabilité — accountability (Art. 5(2))
L’Art. 5(2) RGPD consacre le principe d’accountability : le responsable de traitement doit être en mesure de démontrer le respect de l’ensemble des principes. Ce n’est pas une obligation passive mais une exigence de documentation active.
Exemple pratique : lors d’un contrôle de la CNIL, affirmer oralement que les données sont protégées ne suffit pas. Il faut produire : le registre des traitements (Art. 30), les analyses d’impact (Art. 35) le cas échéant, les contrats de sous-traitance (Art. 28), les preuves de consentement, les politiques de sécurité et de conservation, et les formations dispensées au personnel.
La CNIL a rappelé dans ses lignes directrices que l’absence de documentation constitue en elle-même une violation du principe d’accountability, indépendamment de l’existence ou non d’un dommage.
Mise en oeuvre des principes RGPD : approche méthodique
Pour mettre en oeuvre ces sept principes RGPD de manière systématique :
- Cartographier les traitements : identifier chaque traitement de données personnelles, ses finalités, les catégories de données et les destinataires.
- Documenter les bases légales : associer une base juridique de l’Art. 6(1) à chaque traitement.
- Auditer la proportionnalité : vérifier pour chaque formulaire et chaque flux que seules les données nécessaires sont collectées.
- Définir les durées de conservation : fixer une durée pour chaque catégorie de données et la documenter.
- Sécuriser les données : mettre en oeuvre les mesures techniques et organisationnelles appropriées.
- Informer les personnes : rédiger et diffuser les informations requises par les Art. 13 et 14.
- Constituer le dossier d’accountability : centraliser toute la documentation de conformité.
La mise en conformité RGPD est un processus continu qui exige une revue régulière de chacun de ces éléments.
FAQ
Les 7 principes du RGPD sont-ils tous obligatoires ?
Oui. L’Art. 5 RGPD ne prévoit aucune hiérarchie entre les principes. Chacun constitue une obligation distincte, et la violation de l’un d’entre eux est sanctionnable de manière autonome en vertu de l’Art. 83(5)(a) RGPD, avec une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Quelle est la différence entre les principes RGPD et les droits des personnes ?
Les principes RGPD (Art. 5) sont des obligations qui pèsent sur le responsable de traitement et encadrent la manière dont les données doivent être traitées. Les droits des personnes (Art. 12 à 22) permettent aux individus d’exercer un contrôle sur leurs données. Les deux se complètent : le principe de transparence rend les droits effectifs, et le droit d’accès permet de vérifier le respect des principes.
Comment prouver le respect du principe d’accountability ?
L’Art. 5(2) RGPD impose de pouvoir démontrer la conformité. Concrètement, cela passe par la tenue d’un registre des traitements (Art. 30), la réalisation d’analyses d’impact (Art. 35) quand elles sont requises, la conservation des preuves de consentement, la documentation des mesures de sécurité et la traçabilité des actions de formation.
Un principe peut-il être violé sans que des données soient effectivement compromises ?
Oui. La CNIL sanctionne régulièrement des manquements aux principes RGPD en l’absence de fuite de données avérée. Le défaut de minimisation, l’absence de limitation de la conservation ou le manque de transparence sont sanctionnés indépendamment de tout préjudice concret pour les personnes concernées.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
