Les traitements de données doivent être réalisés dans le respect des obligations suivantes.
– Finalité du traitement : tout traitement de données à caractère personnel doit être réalisé selon une finalité définie et précise. Ainsi, un traitement ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Ces données doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées. Par exemple, dans un formulaire d’inscription ou de commande sur un site marchand, il sera nécessaire de connaître l’adresse du client pour des finalités de livraison, mais il ne sera pas pertinent de demander la profession de l’acheteur.
Il est donc important de réfléchir, au moment de la création du formulaire d’inscription ou de commande, aux catégories de données personnelles nécessaires au traitement des commandes.
La durée de conservation des données diffère suivant leur catégorie et le traitement pour lequel elles ont été collectées. Pour un traitement « clients/prospects », les données relatives aux acheteurs seront conservées jusqu’à la fin de la durée de la prescription légale applicable aux contrats en ligne, soit dix ans à compter du dernier achat en ligne. Quant aux données de connexion, la durée de conservation maximale est d’un an. Il convient de nettoyer les bases de clients régulièrement pour ne conserver que les données actives et non prescrites.
Le responsable du traitement doit prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Il est tenu de mettre en œuvre des mesures de sécurité physiques (accès contrôlé aux locaux hébergeant les serveurs) et techniques (serveurs protégés par des firewalls, accès par mot de passe, etc.).
