Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe limite la manière dont le responsable de traitement pourra utiliser ou réutiliser ces données dans le futur.

Exemple : Un maire ne pourra pas se servir du fichier des inscriptions scolaires pour faire de la communication politique. La liste électorale pourra en revanche être utilisée à une telle fin.

Seules les données strictement nécessaires à la réalisation de l’objectif poursuivi doivent être collectées. Il s’agit donc de minimiser autant que possible la collecte des données.

Exemple : Seule la mention « Personne en fauteuil roulant » doit être enregistrée si la précision du handicap ou de la maladie en cause n’est pas nécessaire pour assurer une prise en charge adéquate de l’intéressé. 

Les données ne doivent être conservées sous une forme identifiante et en « base active » que le temps nécessaire à la réalisation de l’objectif poursuivi et doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.

Exemple : Les données sont conservées en base active par la collectivité tant que l’administré bénéficie d’une prestation publique. Au-delà, elles sont supprimées de cette base mais peuvent être archivées.

Le responsable de traitement de la collectivité doit prendre toutes les mesures utiles pour garantir l’intégrité et la confidentialité de ces données, en s’assurant notamment que des tiers non autorisés n’y auront pas accès. Ces mesures seront déterminées en fonction des risques (sensibilité des données, objectif du traitement) et seront à la fois d’ordre physique, logique, technique et organisationnel (sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques, encadrement des opérations sous-traitées).

Exemple : Les agents doivent disposer d’un mot de passe individuel régulièrement changé et leurs droits d’accès aux fichiers sont définis en fonction de leurs besoins réels en lien avec l’exercice de leur mission. 

Les personnes concernées par les traitements doivent conserver la maitrise des données qui les concernent. Ainsi, la loi prévoit que les données ne peuvent être collectées à l’insu des personnes concernées, qui doivent avoir été informées au préalable de cette opération, de sa finalité, des destinataires des données et des modalités d’exercice de leurs droits. Ces droits « Informatique et Libertés », qu’elles peuvent exercer auprès de la collectivité qui détient ces informations sont :

• le droit d’accéder à leurs données et d’en obtenir une copie ;
• le droit de les rectifier ;
• le droit de s’opposer à leur utilisation, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil).

La loi pour une République numérique d’octobre 2016 est venue renforcer ces droits en prévoyant notamment la possibilité pour les personnes concernées de les exercer par voie électronique, ainsi que de donner des directives relatives à la conservation, à l'effacement et à la communication de leurs données après leur décès.