Les dispositifs doivent être programmés de manière à minimiser la durée de stockage des données : ils ne doivent conserver les données que pendant le temps strictement nécessaire pour atteindre leur objectif (voir “Limitation du stockage” dans “Principes”, partie II des présentes lignes directrices). Bien entendu, cela dépendra probablement de l’objectif requis par l’application. Le stockage n’est acceptable que s’il est nécessaire pour atteindre l’objectif de l’outil. Par exemple, si une application est destinée à suivre une personne souffrant de la maladie d’Alzheimer, au cas où elle s’égarerait en raison des effets de la maladie, les données devront probablement être supprimées très souvent. Si l’on pense à un dispositif visant à aider les utilisateurs à savoir s’ils ont été proches d’une personne souffrant d’une maladie infectieuse, les données devront être conservées pendant des jours ou des semaines.
N’oubliez pas qu’un identifiant unique de dispositif (UDID) attribué de manière aléatoire, tel qu’un numéro unique, ne devrait être stocké qu’à des fins opérationnelles, pendant la durée nécessaire aux fins du traitement. “Après cette période, cet UDID devrait être anonymisé davantage, tout en tenant compte du fait qu’une véritable anonymisation est de plus en plus difficile à réaliser et que les données de localisation combinées peuvent encore conduire à une identification. Cet UDID ne devrait pas pouvoir être lié à des UDID antérieurs ou futurs attribués à l’appareil, ni à un quelconque identifiant fixe de l’utilisateur ou du téléphone (comme une adresse MAC, un numéro IMEI ou IMSI ou tout autre numéro de compte).”[1]
Liste de contrôle :
L’historique des contacts ou les données de localisation stockées sur le serveur central sont supprimés dès qu’ils ne sont plus nécessaires aux fins du traitement. La procédure d’effacement des données est conçue de manière adéquate et le responsable du traitement et les utilisateurs en sont bien conscients. Tout identifiant inclus dans l’historique local est supprimé après X jours de sa collecte (la valeur X étant définie par la finalité du traitement). Les données contenues dans les journaux des serveurs sont réduites au minimum et sont conformes aux exigences en matière de protection des données. S’il existe un serveur central et qu’il doit stocker des identifiants de données, ceux-ci doivent être supprimés une fois qu’ils sont distribués aux autres applications, sauf si une raison juridique/technique recommande le contraire. |
- Avis 13/2011 du WP29 sur les services de géolocalisation sur les appareils mobiles intelligents, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑