1 Tout traitement de données personnelles doit être licite.
2 Il doit être conforme aux principes de la bonne foi et de la proportionnalité.
3 Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.
4 Elles sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement.
5 Celui qui traite des données personnelles doit s’assurer qu’elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. Le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue, ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées.
6 Lorsque le consentement de la personne concernée est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée.
7 Le consentement doit être exprès dans les cas suivants:
- il s’agit d’un traitement de données sensibles;
- il s’agit d’un profilage à risque élevé effectué par une personne privée;
- il s’agit d’un profilage effectué par un organe fédéral.