RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 25 - Protection des données dès la conception et protection des données par défaut

Version en vigueur

Entrée en vigueur :	24 mai 2016

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Décisions • 70

Afficher tout (70)

1. CJUE, n° C-579/21, Conclusions de l'avocat général de la Cour, Procédure engagée par J.M, 15 décembre 2022

[…] Conformément à l'article 25 (« Protection des données dès la conception et protection des données par défaut »), paragraphe 2, du RGPD : […]

Rapprochement des législations·
Protection des données·
Responsable du traitement·
Personne concernée·
Personnel·
Caractère·
Information·
Traitement de données·
Salarié·
Autorité de contrôle

2. CNIL, Délibération du 21 décembre 2023, n° 2023-148

[…] La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l'étude s'effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS et de ses mises à jour ultérieures.

Traitement·
Accès aux données·
Responsable·
Information·
Finalité·
Santé·
Cnil·
Plateforme·
Informatique et libertés·
Informatique

3. CNIL, Délibération du 7 juin 2018, n° 2018-256

Méthodologie·
Traitement de données·
Responsable·
Etablissements de santé·
Plateforme·
Personnel·
Finalité·
Caractère·
Personne concernée·
Accès aux données

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (70)

Commentaires • 167

Afficher tout (167)

1. Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux

www.alain-bensoussan.law · 7 mai 2024

L'Autorité italienne a fondé sa décision sur les articles 5, 9, 25 et 32 du Règlement général sur la protection des données (« RGPD »), afin de retenir le « caractère illicite du traitement des données personnelles effectué par la société »

2. Peut-on obliger l’acheteur à créer un « compte client » ?

www.droit-technologie.org · 17 avril 2024

[…] L'autorité finlandaise a jugé que la pratique de Verkkokauppa.com d'exiger la création de comptes pour les achats en ligne n'était pas conforme avec les articles 5(1)(e) et 25(2) du RGPD, qui concernent la limitation de conservation des données et la protection des données par défaut. L'autorité a conclu que cette exigence conduit à la conservation des données personnelles plus longtemps que nécessaire pour les simples transactions d'achat.

3. Fuite de données : la cybersécurité plus que jamais nécessaire pour assurer la conformité d’un traitement de données personnelles au RGPD.

www.alerionavocats.com · 26 mars 2024

Toujours en application du RGPD, la responsabilité civile[7] ou pénale du responsable de traitement pourra également être engagée : « procéder ou faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux art. 24, 25, 30 et 32 » du RGPD expose en effet son responsable à cinq ans d'emprisonnement et à 300 000 euros d'amende (art. 226-17 du Code pénal). […] NB : MOVEit est une solution logicielle offrant un transfert sécurisé de fichiers […] [7] Article 82 du RGPD prévoyant le droit à réparation de la personne ayant subi un préjudice en raison de la violation du Règlement

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (167)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679