Mesures techniques et organisationnelles connexes
Home » RGPD » Principes » Minimisation des données » Mesures techniques et organisationnelles connexes

La liste suivante donne des exemples de mesures techniques ou organisationnelles à l’appui de la minimisation des données. Il ne s’agit pas d’une liste exhaustive, mais plutôt d’un moyen de rendre le principe plus concret :

  • Savoir quelles sont les données nécessaires aux finalités : Savoir quelles données sont réellement nécessaires n’est possible qu’avec une définition précise et étroite des finalités. Déterminer ce qui est réellement nécessaire est une mesure de soutien à la minimisation des données qui est généralement mise en œuvre pendant la phase de conception ou de design d’une activité de traitement.
  • Ne recueillir que les données nécessaires : Lors de la phase de conception et de la sélection, de la mise en œuvre et/ou de la configuration du logiciel, l’acquisition des données, par exemple au moyen de formulaires de saisie ou de boîtes de dialogue, doit être conçue de manière à ne collecter que les données nécessaires au niveau de détail requis.
  • Supprimer les données et réduire le contenu informatif entre les phases de traitement[1]: Planifier et mettre en œuvre la fonctionnalité permettant de supprimer les données inutiles à la fin des phases de traitement ou de réduire autrement leur contenu informatif.
  • Protégez-vous contre le dépassement de la période maximale de stockage : En deuxième ligne de défense, définissez une durée maximale de conservation[2] et mettez en place une procédure qui vous alerte sur la présence de données ayant dépassé cette durée. Cette mesure permet de se prémunir contre les échecs de suppression, par exemple ceux causés par un bogue logiciel qui se manifeste dans certains cas, une panne du système pendant l’opération de suppression, ou la restauration de données à partir d’une sauvegarde après une panne du système alors que les données étaient déjà supprimées auparavant.

 

  1. Il convient de noter que cette déclaration est relative à l’ensemble des données détenues par le responsable du traitement. Il est également supposé ici que les données ne sont collectées qu’une seule fois auprès des personnes concernées ou à leur sujet et qu’aucune collecte ultérieure de données (par exemple, en cas de besoin) n’a lieu. La déclaration n’exclut pas que différentes phases ou étapes de traitement n’utilisent qu’un sous-ensemble des données globales.
  2. Il peut s’agir directement de “la période pendant laquelle les données à caractère personnel seront conservées” conformément à l’art. 13(2)(a) ou, si la période de conservation dépend de critères, le temps maximal pendant lequel on peut s’attendre à ce que ces conditions soient remplies.

 

Aller au contenu principal