Gouvernance des données : principes de minimisation, de limitation de la finalité et de limitation du stockage
Home » IdO » Gouvernance des données : principes de minimisation, de limitation de la finalité et de limitation du stockage

Principe de minimisation

Limitation de la finalité

Limitation du stockage

Le principe de minimisation stipule que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. D’autre part, selon l’article 5, paragraphe 1, point e), du RGPD, les données à caractère personnel doivent être “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées”. Enfin, la limitation de la finalité signifie que les données à caractère personnel ne peuvent pas être traitées à des fins autres que celles stipulées dans la politique de confidentialité lors de la collecte des données, sauf si ces fins correspondent à des activités d’archivage d’intérêt public, à des fins de recherche scientifique et historique ou à des fins statistiques.

La combinaison de ces trois principes crée un outil normatif combiné qui doit être strictement suivi par les développeurs IdO. En général, les responsables du traitement des données[1] doivent rendre explicites les finalités du traitement : “divulguées, expliquées ou exprimées sous une forme intelligible”. Conformément au principe de minimisation des données, ils doivent également identifier la quantité minimale de données personnelles nécessaires pour atteindre leurs objectifs. En outre, en ce qui concerne le principe de responsabilité, les responsables du traitement doivent être en mesure de démontrer qu’ils ne collectent et ne conservent que les données à caractère personnel nécessaires et qu’elles ne sont utilisées que pour les finalités spécifiques qui ont été informées en vertu d’une base juridique adéquate.

En résumé, la définition d’objectifs clairs pour le développement de l’IdO permettra de s’assurer que les données personnelles à traiter le seront :

  • adéquates : suffisantes pour atteindre l’objectif fixé ;
  • pertinentes : car elles doivent avoir un lien rationnel avec l’objectif ;
  • limitées à ce qui est nécessaire : elles ne doivent pas détenir plus de données que celles nécessaires à la finalité déclarée.

Les responsables du traitement ne doivent pas oublier que, si les dispositifs traitent les données à des fins autres que celles pour lesquelles elles ont été collectées, une base juridique légitimant ce traitement sera nécessaire, à moins que la nouvelle utilisation des données soit compatible avec la finalité pour laquelle les données personnelles ont été initialement collectées, conformément à l’article 6.4 du RGPD. La possibilité de faire usage de l’exception à cette règle liée au traitement à des fins de recherche doit être soigneusement analysée avant tout traitement. Une consultation avec le DPD est fortement recommandée.

 

 

  1. Il est important d’identifier qui est le “responsable de données” ; les développeurs sont rarement le “responsable de données” puisqu’ils ne sont pas responsables de l’objectif commercial, cette tâche incombant à la direction de l’entreprise.

 

Aller au contenu principal