Décryptage complet de l’article 5 du RGPD
Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
Le traitement ultérieur à des fins archivistiques, scientifiques, historiques ou statistiques n’est pas considéré comme incompatible (article 89 §1).
Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement.
Les données doivent être exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour effacer ou rectifier sans tarder les données inexactes.
Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités.
Des durées plus longues sont possibles à des fins archivistiques, scientifiques, historiques ou statistiques (article 89 §1), sous réserve de garanties appropriées.
Les données doivent être traitées de manière à garantir une sécurité appropriée, notamment contre le traitement non autorisé ou illicite, la perte, la destruction ou les dommages accidentels.
Ces garanties s’appuient sur des mesures techniques ou organisationnelles appropriées.
Le responsable du traitement est responsable du respect de l’ensemble des principes ci-dessus et doit être en mesure de démontrer leur application.
📊 Êtes-vous conforme à l’article 5 du RGPD ?
Les 6 principes fondamentaux du RGPD
L’article 5 du RGPD, ce n’est pas juste un extrait réglementaire. C’est le socle de toute conformité en matière de données personnelles. Il énonce 6 principes essentiels à respecter, mais aussi une obligation capitale : être capable de démontrer que vous les respectez.
1. Transparence, loyauté et licéité : soyez clair dès le départ
Texte RGPD : « Les données sont traitées de manière licite, loyale et transparente à l’égard de la personne concernée. »
🎯 Ce principe impose de jouer cartes sur table dès la collecte des données. Rien ne doit être caché ou ambigu.
Ce que vous devez faire :
- Expliquer qui collecte, pourquoi, pour combien de temps et avec qui les données seront partagées
- Choisir une base légale claire : consentement, exécution d’un contrat, intérêt légitime…
- Fournir des informations accessibles et compréhensibles (exit le jargon juridique !)
À éviter :
- Les formulaires sans information de traitement
- Les finalités vagues comme “améliorer l’expérience utilisateur” (à préciser !)
💡 Exemple concret : Vous lancez une app mobile ? Dès l’inscription, expliquez que l’email est utilisé pour créer le compte, envoyer des infos liées à l’app, et que les données ne seront pas revendues.
2. Limitation des finalités : une collecte = un usage précis
Texte RGPD : « Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités. »
🎯 Chaque traitement doit être justifié et encadré. Vous ne pouvez pas réutiliser les données comme bon vous semble.
Ce que vous devez faire :
- Associer une finalité spécifique et documentée à chaque traitement dans votre registre RGPD
- Informer les utilisateurs de chaque usage prévu au moment de la collecte
À éviter :
- Réutiliser les données pour du marketing sans base légale complémentaire
- Ajouter une nouvelle finalité après coup, sans informer la personne concernée
💡 Exemple concret : Vous organisez un événement en ligne ? Collectez les emails pour l’inscription, pas pour envoyer des offres partenaires, sauf consentement explicite.
3. Minimisation des données : collectez le strict nécessaire
Texte RGPD : « Les données sont adéquates, pertinentes et limitées à ce qui est nécessaire. »
🎯 C’est le principe du “moins, c’est mieux”. Vous devez justifier chaque information demandée.
Ce que vous devez faire :
- Supprimer les champs superflus dans vos formulaires
- Réévaluer régulièrement les données collectées (notamment par vos outils SaaS ou CRM)
À éviter :
- Demander une civilité ou une date de naissance si elle ne sert à rien
- Collecter des données sensibles (religion, santé…) par défaut, sans nécessité
💡 Exemple concret : Pour une inscription à un ebook, le prénom et l’e-mail suffisent. Pas besoin du téléphone ni de la fonction.
4. Exactitude : tenez vos données à jour
Texte RGPD : « Les données doivent être exactes et, si nécessaire, mises à jour. »
🎯 Une donnée périmée ou erronée peut entraîner des erreurs commerciales, juridiques ou réputationnelles.
Ce que vous devez faire :
- Donner aux personnes concernées la possibilité de corriger ou actualiser leurs données facilement
- Vérifier régulièrement les données critiques (emails pro, adresses, statuts…)
À éviter :
- Laisser des comptes utilisateurs obsolètes ou inactifs traîner
- Travailler avec des bases non nettoyées depuis plusieurs années
💡 Exemple concret : Dans un espace client, proposez un bouton “mettre à jour mes coordonnées” + un rappel automatique annuel.
5. Limitation de la conservation : supprimez à temps
Texte RGPD : « Les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités. »
🎯 Le RGPD vous impose d’anticiper une date de fin de vie pour chaque donnée. Pas de stockage “illimité par précaution”.
Ce que vous devez faire :
- Établir une politique de conservation (ex. : 3 ans pour un prospect, 5 ans pour un contrat)
- Automatiser l’archivage, l’anonymisation ou la suppression
À éviter :
- Garder des fichiers clients ou des bases marketing “au cas où”
- Supprimer des données sensibles uniquement “sur demande”
💡 Exemple concret : Configurez votre CRM pour anonymiser automatiquement les contacts inactifs depuis plus de 24 mois.
6. Sécurité, intégrité, confidentialité : protégez efficacement les données
Texte RGPD : « Les données doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte. »
🎯 Ce principe couvre toutes vos obligations de cybersécurité : accès, stockage, transmission, sauvegarde…
Ce que vous devez faire :
- Mettre en place des mesures techniques (chiffrement, backups, MFA)
- Organiser des audits de sécurité réguliers
- Former les collaborateurs à la sécurité des données
À éviter :
- Laisser traîner des fichiers sensibles non protégés
- Partager des infos clients par email sans précaution
💡 Exemple concret : Stockez les contrats dans un coffre-fort numérique, accessible uniquement par les RH, avec double authentification.
4 leviers concrets pour appliquer (et prouver) les principes de l’article 5 RGPD
L’article 5 ne se limite pas à des grands principes abstraits : il engage votre organisation à une mise en œuvre rigoureuse, visible et traçable.
Vous êtes à la fois responsable et redevable. C’est ce que le paragraphe 2 de l’article 5 formalise très clairement :
« Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté. »
Voici 4 leviers incontournables pour traduire les principes du RGPD en pratiques concrètes, et passer d’une conformité théorique à une conformité opérationnelle et défendable.
1. Démontrez votre conformité : le principe de responsabilisation
Ce que ça implique :
Vous devez être capable de prouver à tout moment que vos traitements sont conformes aux principes du RGPD. Cette logique de “compliance by design” transforme la documentation en véritable bouclier juridique.
À mettre en place :
- Un registre des traitements structuré par finalité, base légale, durée, et mesures de sécurité
- Des preuves concrètes : archives de formulaires, captures d’écran de bandeaux cookies, historique des consentements
- Une documentation claire sur vos processus (politique de conservation, gestion des droits, encadrement des sous-traitants)
💡 Pourquoi c’est clé : En cas de contrôle de la CNIL ou de plainte, l’absence de preuve = non-conformité, même si vous êtes de bonne foi.
2. Intégrez la conformité dès la conception : Privacy by Design & by Default
Ce que ça implique :
La conformité ne doit plus être un patch ajouté à la fin d’un projet. Elle doit être pensée dès la conception d’un produit, service ou traitement de données.
À mettre en place :
- Concevoir vos formulaires avec le strict nécessaire (principe de minimisation)
- Configurer vos outils avec des paramètres protecteurs par défaut (opt-in, visibilité limitée des profils, désactivation du tracking par défaut…)
- Réaliser un check RGPD à chaque évolution produit
💡 Exemple : Lorsque vous développez un tableau de bord client, masquez par défaut les données sensibles (adresse, date de naissance) si elles ne sont pas nécessaires à l’utilisateur final.
3. Tracez vos actions : sans journalisation, pas de preuve
Ce que ça implique :
Vous devez pouvoir retracer les traitements de données, leur origine, leurs usages et leurs accès. C’est essentiel pour la conformité… et pour la cybersécurité.
À mettre en place :
- Logs d’accès aux bases de données, exports et suppressions
- Archivage des versions de consentement acceptées par chaque utilisateur
- Traçabilité des modifications (ex : qui a modifié une fiche client et quand)
💡 Astuce : De nombreux outils CRM ou plateformes marketing offrent des fonctionnalités de journalisation. Activez-les, paramétrez des alertes, et sauvegardez les historiques de manière centralisée.
4. Évaluez l’équilibre : la proportionnalité au cœur de vos traitements
Ce que ça implique :
Même si vous avez une base légale solide (ex. : intérêt légitime), cela ne vous autorise pas à tout. Chaque traitement doit être proportionné à son objectif et respectueux des droits des personnes.
À mettre en place :
- Un test de nécessité/proportionnalité pour chaque nouveau traitement
- Une analyse d’impact (PIA) obligatoire dès que le traitement présente un risque élevé (surveillance, profiling, données sensibles…)
💡 Exemple : Installer une vidéosurveillance 24h/24 dans un espace de coworking peut être disproportionné, sauf justification claire et mesure compensatoire (périmètre restreint, durée courte, information visible…).
FAQ – Les questions fréquentes
Comment prouver concrètement sa conformité à l’article 5 RGPD en cas de contrôle CNIL ?
La preuve passe par une chaîne de traçabilité documentée : registre RGPD détaillé, archives des consentements, logs de traitements, politiques internes, captures écran, historiques d’envoi.
📂 Utilisez un drive ou outil dédié (ex : Conformity, DPOrganizer, OneTrust) pour tout centraliser et dater chaque action.
Faut-il un registre RGPD différent selon les départements de l’entreprise ?
Oui, un registre unique est insuffisant si vos traitements varient selon les services.
Créez des sous-registres opérationnels (RH, Marketing, IT…) avec des finalités, durées et bases légales adaptées. Cela facilite aussi la responsabilisation locale et la mise à jour continue.
Comment intégrer la Privacy by Design dans un outil SaaS ou une app mobile ?
Cela implique d’automatiser la conformité dans l’architecture produit :
- Désactiver les options de tracking par défaut
- Rendre les données sensibles masquées ou inaccessibles sans besoin métier
- Intégrer des logs d’accès et de modification
💡 Bonnes pratiques : API pseudonymisation, gestion granulaire des droits, audits code RGPD.
Le DPO peut-il être responsable de la preuve de conformité à l’article 5 ?
Non : le DPO conseille et alerte, mais la responsabilité incombe au responsable de traitement.
Cependant, il peut structurer les démarches de preuve, établir des checklists, animer la gouvernance et auditer les pratiques internes. Son rôle est transversal, pas exécutif.
Quelles erreurs font échouer une démonstration de conformité malgré de bonnes intentions ?
- Aucune datation ou versionning des preuves
- Des documents non liés aux traitements réels (ex : politique type non appliquée)
- L’absence de procédure de révision annuelle
- Des outils non configurés correctement (consentement actif mais non archivé)
⚠️ En RGPD, ce n’est pas ce que vous faites qui compte, c’est ce que vous prouvez.
