1. Le principe de finalité
Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux activités de la banque. Il faut noter que tout détournement de finalité est passible de sanctions pénales.
Le contrôle du respect de ce principe exige une vision globale et distanciée qu’apportent les missions de l’audit interne, contrôle périodique de troisième niveau.
2. Le principe de pertinence et de proportionnalité
Les données à caractère personnel collectées et traitées doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.
Seules peuvent être enregistrées les informations nécessaires à la réalisation des opérations de la banque. Selon la CNIL, il importe « d’évaluer si les données à caractère personnel utilisées sont toutes nécessaires au regard de la finalité recherchée et si certaines d’entre elles pourraient être partiellement ou totalement anonymisées tout en permettant d’atteindre la finalité désirée ».
3. Le principe de durée limitée de conservation des données
Les informations ne peuvent être conservées indéfiniment dans les fichiers de la banque. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.
La durée de conservation déclarée doit correspondre à la période durant laquelle les données restent accessibles ou consultables – par opposition à la période d’archivage pendant laquelle ces données ne sont plus destinées à être utilisées ; elles sont alors conservées sur un support distinct au sein d’un service dédié.
Le contrôle du respect de ces durées et des échéances correspondantes relève dans un premier temps de l’autocontrôle des opérationnels. Les procédures de contrôle interne doivent aussi permettre d’automatiser cette surveillance et, le cas échéant, les actions correctives nécessaires.
4. Le principe de sécurité et de confidentialité
La banque est astreinte à une obligation de sécurité. Elle doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation.
Les données contenues dans les fichiers ne peuvent être consultées que par les unités et les personnes habilitées à y accéder en raison de leurs fonctions.
Les responsables des traitements doivent prendre toutes les mesures pour empêcher que les données soient déformées, endommagées ou accessibles à des tiers non autorisés. S’il est fait appel à un prestataire externe, des garanties contractuelles doivent être formalisées.
5. Le principe de transparence
La loi garantit aux personnes une information relative aux traitements auxquels sont soumises des données les concernant. Elle leur assure la possibilité d’un contrôle de ces données. La banque doit donc avertir les personnes (clients, salariés, fournisseurs…) de la collecte des données les concernant et de la transmission de ces données à des tiers.