Gouvernance des données : principes de minimisation, de limitation de la finalité et de limitation du stockage
Home » Réseaux sociaux » Gouvernance des données : principes de minimisation, de limitation de la finalité et de limitation du stockage

Principe de minimisation

Limitation de la finalité

Limitation du stockage

Le principe de minimisation (voir la sous-section “Principe de minimisation” de la section “Concepts principaux” au sein de la partie II des présentes lignes directrices) stipule que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. D’autre part, selon l’article 5, paragraphe 1, point e), du RGPD, les données à caractère personnel doivent être “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées”. Enfin, la limitation de la finalité signifie que les données à caractère personnel ne peuvent pas être traitées à des fins autres que celles stipulées dans la politique de confidentialité au moment de la collecte des données, à moins que ces autres finalités soient compatibles avec les finalités initiales et en vertu de garanties appropriées (art. 6.4 du RGPD). Par exemple, le traitement ultérieur correspond à des activités d’archivage d’intérêt public, à des fins de recherche scientifique et historique ou à des fins statistiques (voir la sous-section “Traitement des données et recherche scientifique” des “Concepts principaux” au sein de la partie II des présentes lignes directrices).

La combinaison de ces trois principes crée un outil normatif combiné qui doit être strictement suivi par les responsables du traitement utilisant des données recueillies par le biais des réseaux sociaux. En général, les responsables du traitement[1] doivent rendre explicites les finalités du traitement : “divulguées, expliquées ou exprimées sous une forme intelligible”. Conformément au principe de minimisation des données, ils doivent également identifier la quantité minimale de données à caractère personnel nécessaire pour atteindre leurs objectifs. En outre, en ce qui concerne le principe de responsabilité, les responsables du traitement doivent être en mesure de démontrer qu’ils ne collectent et ne conservent que les données à caractère personnel nécessaires, et qu’elles ne sont utilisées que pour les finalités spécifiques qui ont été informées en vertu d’une base juridique adéquate.

En résumé, la fixation d’objectifs clairs pour le traitement permettra de s’assurer que les données personnelles à traiter sont :

  • adéquates : suffisantes pour atteindre l’objectif fixé ;
  • pertinentes : elles doivent avoir un lien rationnel avec la finalté ;
  • limitées à ce qui est nécessaire : elles ne doivent pas détenir plus de données que celles nécessaires à la finalité déclarée.

 

  1. Il est important d’identifier qui est le “responsable du traitement des données” ; les développeurs sont rarement les “responsables du traitement des données”, car ils ne sont pas chargés de s’occuper de l’objectif commercial, cette tâche revenant à la direction de l’entreprise.

 

Aller au contenu principal