Skip to Content
RGPDPartie 1 — Comprendre le RGPD1.4 — Les 6 principes (art. 5)

Chapitre 1.4 — Les 6 principes (art. 5)

⏱️ TL;DR — Tout le RGPD tient dans six principes posés à l’article 5, plus un septième qui les chapeaute. Un traitement doit être : licite, loyal et transparent ; limité à des finalités déterminées ; minimisé (le moins de données possible) ; exact (à jour) ; conservé un temps limité ; sécurisé (intégrité & confidentialité). Et par-dessus : la responsabilité (accountability) — tu dois non seulement respecter ces principes, mais pouvoir le prouver. Retiens ces six mots : ils sont la grille de lecture de tout le reste du cours, et une checklist mentale à dérouler avant chaque nouvelle fonctionnalité.

🎯 Objectifs

  • Réciter et comprendre les 6 principes de l’article 5.
  • Traduire chacun en décision de conception concrète.
  • Saisir le principe transversal de responsabilité (accountability).
  • Utiliser ces principes comme checklist avant de coder un traitement.

Les six principes, un par un

1. Licéité, loyauté, transparence

  • Licéité : chaque traitement doit reposer sur une base légale valide (art. 6 — on y consacre la Partie 4). Pas de base = pas de traitement.
  • Loyauté : pas de collecte cachée ou détournée. On ne piège pas l’utilisateur, on ne récupère pas des données « en douce » pour un autre usage.
  • Transparence : la personne sait qui traite quoi, pourquoi, et quels sont ses droits (mentions d’information, Partie 8). Le langage doit être clair — encore plus face à des enfants.

2. Limitation des finalités

Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être « recyclées » pour un usage incompatible. La finalité, c’est le pourquoi : « gérer les inscriptions », « envoyer la newsletter », « établir des statistiques de réussite ». Chaque finalité est une case ; on ne verse pas les données d’une case dans une autre sans vérifier la compatibilité (et souvent sans nouvelle base légale).

⚠️ Piège — Collecter pour une finalité, puis réutiliser « puisqu’on les a ». Exemple : récupérer les e-mails pour créer les comptes élèves (finalité : scolarité), puis s’en servir pour de la prospection commerciale (autre finalité). C’est un détournement de finalité, l’un des manquements les plus sanctionnés.

3. Minimisation des données

On ne collecte que les données adéquates, pertinentes et limitées à ce qui est nécessaire. Le réflexe par défaut n’est pas « prenons tout, on verra », mais « de quoi ai-je strictement besoin ? ». Chaque champ de formulaire doit se justifier par la finalité.

// ❌ Sur-collecte : pourquoi la date de naissance et le téléphone pour une newsletter ? type InscriptionNewsletter = { email: string prenom: string dateNaissance: Date // non nécessaire à l'envoi d'une newsletter telephone: string // non nécessaire non plus } // ✅ Minimisé : juste ce qu'il faut pour la finalité « envoyer la newsletter » type InscriptionNewsletter = { email: string prenom?: string // optionnel, pour personnaliser — et c'est tout }

4. Exactitude

Les données doivent être exactes et tenues à jour. Il faut permettre la rectification (un élève change de classe, un stagiaire d’adresse) et effacer/corriger les données inexactes. Une donnée fausse peut avoir des conséquences réelles (un bulletin erroné, une relance envoyée au mauvais parent).

5. Limitation de la conservation

On ne garde pas les données indéfiniment. À chaque finalité correspond une durée de conservation justifiée ; passé ce délai, on supprime ou on anonymise (parfois on archive avec un accès restreint si une obligation légale l’impose). « On garde tout, au cas où » est contraire au RGPD.

💡 Réflexe — Pour chaque table de ta base, pose-toi dès la conception : « Combien de temps je garde ça, et qui déclenche la purge ? » Une durée de conservation sans mécanisme de suppression automatique n’est qu’un vœu pieux. Le RGPD se code aussi en cron jobs.

6. Intégrité & confidentialité (sécurité)

Les données doivent être protégées par des mesures techniques et organisationnelles appropriées : contre l’accès non autorisé, la perte, la destruction (chiffrement, contrôle d’accès, sauvegardes…). C’est le pont vers l’article 32 (Partie 9). Sans sécurité, tous les autres principes s’effondrent.

Le 7e, au-dessus : la responsabilité (accountability)

L’article 5.2 ajoute le principe qui change la posture : le responsable de traitement doit respecter ces principes et être en mesure de le démontrer. Ce n’est plus « je déclare que je suis conforme » (l’ancien régime des déclarations à la CNIL, supprimé en 2018), c’est « je prouve ma conformité » avec des documents : registre, mentions, contrats, analyses d’impact, traces de consentement.

Pour un dev, l’accountability se traduit très concrètement : documenter ses choix, journaliser les consentements et les demandes de droits, versionner ses politiques. Si tu ne peux pas le montrer, c’est comme si tu ne l’avais pas fait.

PrincipeLe mot-cléLa question à se poser
Licéité, loyauté, transparenceHonnêtetéSur quelle base ? L’ai-je dit clairement ?
Limitation des finalitésPourquoiPour quel usage précis ? Compatible ?
MinimisationLe moinsAi-je vraiment besoin de ce champ ?
ExactitudeÀ jourPuis-je corriger facilement ?
Limitation de conservationCombien de tempsQuand et comment je supprime ?
Intégrité & confidentialitéProtégéQui peut y accéder ? Est-ce chiffré ?
ResponsabilitéProuvablePuis-je le démontrer, documents à l’appui ?

🧭 Sur FormaCampus — On va dérouler ces sept principes sur FormaCampus tout au long du cours : une base légale par finalité (Partie 4), des formulaires minimisés (on retire la date de naissance inutile), des durées de conservation codées en tâches planifiées (un stagiaire supprimé 3 ans après sa dernière formation, sauf obligation), du chiffrement (Partie 9), et surtout un registre qui rend tout ça prouvable (Partie 11). Chaque principe deviendra une ligne de code ou de contrat.

📚 Le texte — Les six principes sont à l’article 5.1 (a à f) du RGPD ; la responsabilité est à l’article 5.2. C’est l’article le plus important à connaître par cœur : quasiment toute décision de la CNIL se rattache à l’un de ces principes.

✏️ Exercices

Exercice 1 — Nomme le principe violé. Pour chaque situation, cite le principe de l’article 5 enfreint : (a) un formulaire d’inscription à un webinaire demande le numéro de sécurité sociale ; (b) une base d’anciens élèves de 2009 n’a jamais été purgée ; (c) les e-mails collectés pour la scolarité servent à vendre un produit tiers.

✅ Solution

(a) Minimisation — le numéro de sécurité sociale n’a aucun rapport avec la finalité « webinaire » (c’est en plus une donnée très sensible). (b) Limitation de la conservation — des données gardées 15 ans sans finalité active. (c) Limitation des finalités (et licéité) — détournement vers un usage incompatible sans base légale ni information. Bonus : dans les trois cas, la responsabilité est aussi en jeu, car rien de tout ça ne serait documentable.

Exercice 2 — Applique la checklist. Tu ajoutes une fonctionnalité « chat de support » qui enregistre les conversations. Déroule les 6 principes en une question chacun.

✅ Solution

Licéité/transparence : sur quelle base (intérêt légitime ? contrat ?) et l’ai-je annoncé dans les mentions ? Finalité : uniquement le support, pas l’entraînement d’un modèle à l’insu de l’utilisateur. Minimisation : ai-je besoin de conserver tout le contenu, ou juste un ticket ? Exactitude : peu pertinent ici, mais l’utilisateur peut-il faire corriger une info erronée ? Conservation : combien de temps je garde les conversations (ex. 6-12 mois), avec quelle purge auto ? Sécurité : qui, côté support, peut lire ces échanges, et sont-ils chiffrés ? Dérouler cette checklist avant de coder évite de découvrir le problème après la mise en production.

🧠 Quiz de révision

1. Cite les six principes de l’article 5.1.

Licéité/loyauté/transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité & confidentialité (sécurité). Moyen mnémo : honnêteté, pourquoi, le moins, à jour, combien de temps, protégé.

2. Qu’est-ce que le principe de limitation des finalités ?

Les données sont collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être réutilisées pour un usage incompatible. Réutiliser des e-mails de scolarité pour de la prospection est un détournement de finalité.

3. Que veut dire « minimisation » pour un dev ?

Ne collecter que les champs strictement nécessaires à la finalité. Le réflexe par défaut est « de quoi ai-je vraiment besoin ? », pas « prenons tout, on verra ». Chaque champ de formulaire doit se justifier.

4. Le principe de limitation de la conservation autorise-t-il à « tout garder au cas où » ?

Non. Chaque finalité a une durée de conservation justifiée ; ensuite on supprime ou anonymise (ou on archive si une obligation légale l’impose). « Tout garder indéfiniment » est contraire au RGPD — et se code en suppression automatique.

5. Qu’est-ce que le principe de responsabilité (accountability) ?

Le fait de devoir respecter les principes et pouvoir le démontrer (art. 5.2). On ne déclare plus, on prouve : registre, mentions, contrats, analyses d’impact, traces de consentement. Si tu ne peux pas le montrer, c’est comme si tu ne l’avais pas fait.


Chapitre suivant : Mythes & réalités — on démonte les idées reçues (« on est trop petits », « c’est juste les cookies », « le consentement partout ») qui mènent à une conformité de façade.

Last updated on