Pour être conforme au RGPD, le traitement de données doit obéir aux principes suivants :

• Le traitement doit être licite : il doit être fondé sur l'une des 6 bases légales fixées par le RGPD notamment le consentement de la personne concernée, l'exécution d'un contrat ou le respect d'une obligation légale.
• Le traitement doit être transparent : la personne dont les données sont collectées doit être informée de la collecte et de sa finalité, ainsi que des droits dont elle dispose sur ses données (accès, rectification, portabilité, effacement...).
• Le traitement doit avoir une finalité : le responsable du traitement doit définir l'objectif poursuivi par la collecte des données (ex : prospection, suivi de relations clients, ressources humaines). Les données ne doivent pas être traitées d’une manière incompatible avec cette finalité.
• Le traitement doit être proportionnel et pertinent : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. On parle de « principe de minimisation ». Par exemple, une société n'a pas à collecter le numéro de téléphone de ses clients lorsqu'elle adresse uniquement de la prospection par mail.
• Le traitement doit être temporaire : la durée de conservation des informations doit être définie dès la mise en place du dispositif qui collecte ces données. Une fois l’objectif atteint, les informations collectées ne sont plus nécessaires et doivent donc être supprimées.
• Le traitement doit être sécurisé : toutes les mesures nécessaires pour garantir la sécurité, et notamment la confidentialité des données personnelles doivent être mises en place (ex : mots de passe, https, sauvegarde). Ces mesures de sécurité sont proportionnelles aux risques encourus (ex : vol ou perte de données).