Le concept Privacy by Design fait référence à la minimisation des données. En effet, à travers lui, le RGPD recommande de collecter le moins de données possible. Décryptage.
Il y aurait certainement moins de destruction d’archives si les entreprises ne récoltaient pas autant de données. Voilà l’une des façons d’extrapoler le concept Privacy by Design, lequel a été adopté par le nouveau règlement général sur la protection des données (RGPD).
En effet, le principe en question fait référence à la minimisation des données personnelles. En appliquant ce principe, les entreprises s’exposent à moins de risques : moins de fuites de données, moins de sites web piratés, moins de règles de confidentialité enfreintes, entre autres choses !
Minimisation des données : ce que dit la théorie, et ce que dit la pratique
Qu’est-ce que nous dit la minimisation des données sous sa forme théorique ? Et bien ce principe exige que l’obtention d’informations personnelles soit limitée. En effet, uniquement ce qui est strictement nécessaire pour la finalité recherchée doit être communiqué par le titulaire des données (dans le cas d’une newsletter par exemple, une simple adresse email devrait donc suffire).
Or, de nos jours, on constate que bien souvent, l’adresse email n’est pas la seule information demandée : nom, prénom et numéro de téléphone sont parfois aussi exigés !
Dans la pratique, le principe de minimisation des données existait déjà dans le règlement général sur la protection des données. Mais à présent, il a été étendu !
Encore une fois, selon le RGPD, le modèle d’entreprise doit prévoir de ne collecter qu’un nombre limité de données. La minimisation des données est donc une contrainte légale que les administrations et entreprises sont dans l’obligation de respecter.
C’est d’ailleurs à ce niveau qu’entre en jeu le Privacy by Design : il incombe aux institutions qui traitent des données personnelles de s’interroger sur celles dont elles ont réellement besoin en amont de la conception de nouveaux produits et services.
Réduire les risques de violations de données… et les sanctions !
Aussi, toute organisation qui compte collecter, enregistrer et gérer des données doit mettre en place des stratégies de minimisation afin de réduire le risque de violations de données. Pour ce faire, il est crucial de réduire le volume desdites données, sous la supervision d’un responsable de traitement (ou un sous-traitant).
L’élaboration de la stratégie devra être mise en place dès le stade initial de la création d’un nouveau système traitant des données personnelles. Pour ce faire, la classification d’un système de données sera généralement requise ainsi que l’établissement d’une liste des données personnelles qui sont réellement nécessaires pour atteindre les finalités de l’entreprise.
Lire aussi :