Principe de minimisation
Home » Réseaux sociaux » Gouvernance des données : principes de minimisation, de limitation de la finalité et de limitation du stockage » Principe de minimisation

Le principe de minimisation stipule que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. (Voir la section “Minimisation des données” dans la section “Principes” de la partie II des présentes lignes directrices). Selon ce principe, les responsables du traitement doivent être conscients de l’objectif à atteindre par le biais du traitement, afin d’éviter d’utiliser plus de données que nécessaire. En outre, les responsables du traitement doivent également essayer d’éviter d’utiliser des catégories spéciales de données à caractère personnel si elles ne sont pas strictement nécessaires.

Lorsque les chercheurs/innovateurs recueillent des données sur les réseaux sociaux, ils peuvent finir par traiter beaucoup plus de données personnelles et sensibles qu’ils n’en ont réellement besoin pour les finalités spécifiques de la recherche. Il existe plusieurs moyens d’éviter un tel scénario. En principe, les responsables du traitement devraient promouvoir l’utilisation de données anonymes (voir la section “Identification, pseudonymisation et anonymisation” de la partie II, section “Concepts principaux” des présentes lignes directrices). En effet, éviter l’identification d’individus spécifiques à partir de l’analyse des big data, ou la ré-identification d’utilisateurs de données dont les données ont été pseudonymisées, est une garantie fondamentale pour prévenir l’impact indu sur les personnes concernées par le traitement des données[1] . S’ils n’ont pas besoin de données personnelles, ils pourraient demander au réseau social de leur fournir des données anonymisées. Bien entendu, ils peuvent également rendre anonymes les données une fois qu’elles ont été collectées, mais, dans ce cas, ils ne doivent pas oublier que l’anonymisation implique un traitement des données et qu’ils doivent donc disposer d’une base juridique qui la légitime (voir la sous-section “Identification, pseudonymisation et anonymisation” dans la section “Concepts principaux” de la partie II des présentes lignes directrices).

En outre, les chercheurs/innovateurs doivent garder à l’esprit que l’anonymat peut être difficile à atteindre. Très souvent, l’agrégation et la déduction des pratiques en matière de données peuvent facilement désanonymiser les ensembles de données. Ainsi, les responsables du traitement ne doivent pas présumer que leurs processus d’anonymisation permettront de préserver la vie privée des personnes concernées. En effet, ils doivent effectuer des AIPD et des évaluations des risques pour s’en assurer (voir Responsabilité dans cette partie des lignes directrices).

Une alternative à l’anonymisation en tant que telle est l’utilisation de données agrégées. Dans le contexte de la protection des données, il convient de distinguer deux types d’agrégation (voir la section “Minimisation des données” dans la section “Principes” de la partie II des présentes lignes directrices) :

  • Personne unique : Agrégation d’éléments de données relatifs à une seule personne : Prendre par exemple le revenu mensuel moyen d’une personne sur une année réduit le contenu des informations relatives à cette personne.
  • Personnes multiples : Agrégation d’éléments de données relatifs à une multitude de personnes : Prendre par exemple le revenu annuel moyen d’un groupe de personnes réduit également le contenu global de l’information (minimisation des données). En outre, cela affaiblit également le degré d’association entre un élément de données et une personne donnée. Ce type d’agrégation est donc également pertinent pour la limitation du stockage.

Lorsque la finalité du traitement peut être atteinte en utilisant des données agrégées, cela est recommandé (voir la sous-section “Principe de minimisation des données” de la section “Principes” de la partie II des présentes lignes directrices). Dans ces circonstances, personne d’autre que la personne concernée ne devrait accéder aux données brutes (données obtenues ou observées), à moins qu’une raison extrêmement pertinente ne s’applique (par exemple, les questions de sécurité nationale interprétées de manière restrictive). En effet, il arrive qu’une recherche spécifique n’ait besoin que de données agrégées et n’ait pas besoin des données brutes collectées dans les réseaux sociaux. Par conséquent, les responsables du traitement doivent supprimer les données brutes dès qu’ils ont extrait les données nécessaires à leur traitement. En principe, la suppression doit avoir lieu au point le plus proche de la collecte des données brutes (par exemple, sur le même appareil après le traitement).

 

  1. Les lignes directrices 3/2013 du WP29 sur la limitation de la finalité (p. 3) soulignent que l’adoption de garanties visant à prévenir les impacts indus sur les personnes concernées est un facteur clé à prendre en compte lors de l’évaluation des utilisations ultérieures compatibles des données.

 

Aller au contenu principal