• L’établissement d'une structure de gouvernance avec des rôles et des responsabilités.
• Le maintien à jour d'enregistrements détaillés concernant toutes les opérations de traitement des données.
• La documentation des politiques et procédures de protection des données.
• L’organisation d’Analyses d'Impact relatives à la Protection des Données (AIPD) pour les opérations de traitement présentant un risque élevé.
• La mise en œuvre de mesures de sécurité appropriées des données à caractère personnel.
• La formation et la sensibilisation du personnel.
• Si nécessaire, la désignation d'un délégué à la protection des données.

• Traitées de manière licite, loyale et transparente.
• Collectées pour des finalités déterminées, explicites et légitimes.
• Adéquates, pertinentes et limitées à ce qui est nécessaire.
• Exactes et, si nécessaire, tenues à jour.
• Conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
• Traitées de façon à garantir une sécurité appropriée des données à caractère personnel.

• Consentement direct de l'individu ;
• Nécessité de passation de contrat ;
• Protection des intérêts vitaux de l'individu ;
• Obligations juridiques de l'organisation ;
• Nécessité dans l’intérêt public ; et
• Intérêts légitimes de l'organisation.

• Le droit d'accès aux données à caractère personnel via des demandes d'accès des personnes concernées.
• Le droit de modifier des données à caractère personnel inexactes.
• Le droit, dans certains cas, d'effacement des données à caractère personnel.
• Le droit d’opposition
• Le droit de portabilité des données à caractère personnel d'un prestataire de services vers un autre.

• Le consentement doit être par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord.
• Une demande de consentement doit être présentée sous une forme compréhensible et aisément accessible, et formulée en des termes claires et simples.
• Le silence, les cases pré-cochées et l'inactivité ne suffisent plus au consentement.
• Le consentement peut être retiré à tout moment.
• Le consentement d’enfants de moins de 13 ans pour des services en ligne est valide uniquement avec une autorisation parentale.
• Les organisations doivent être en mesure de prouver le consentement.

• La protection des données doit être prise en compte dès la conception d’un nouveau processus, système ou technologie.
• Une AIPD fait partie intégrante du principe de confidentialité dès la conception.
• Le mode de collecte par défaut doit concerner uniquement les données à caractère personnel nécessaires à des fins spécifiques.

• Les notifications de confidentialité doivent être fournies sous une forme concise, transparente et aisément accessible dans un langage clair et simple.

• Si l'UE a désigné un pays comme procurant un niveau adéquat de protection des données ;
• Via des contrats modèles ou des règles d'entreprise strictes ; ou
• En respectant un mécanisme agréé de certification, ex. le bouclier de protection des données UE-US (Privacy Shield).

• Les violations des données doivent être signalées à l'autorité de protection des données dans les 72 heures suivant la découverte.
• Les individus affectés devraient être informés de l'existence d'un risque élevé concernant leurs droits et libertés, ex. vol d'identité ou sécurité personnelle.

• Les autorités publiques ;
• Les organisations impliquées dans un traitement de données présentant un risque élevé ; et
• Les organisations traitant des catégories spéciales de données.

Un DPD à des tâches imposées :

• Informer et conseiller l'organisation au sujet de ses obligations.
• Suivre la conformité, notamment la sensibilisation, la formation du personnel et les audits.
• Coopérer avec les autorités de protection des données et servir de point de contact..