Tandis que la destruction des archives constitue l’étape finale du traitement des données à caractère personnel, le principe de minimisation intervient en amont de la collecte. Le principe de minimisation veille à ce que l’opération soit effectuée uniquement si l’objectif du traitement ne peut être atteint d’une autre manière.
Dans cet article, nous présentons les bonnes pratiques de mise en œuvre du principe de minimisation pour les petites entreprises.
Collecte de données : comprendre le principe de minimisation
Pour être licite, le RGPD dit que le traitement de données à caractère personnel doit uniquement porter sur « des données adéquates, pertinentes et non excessives ». Aussi les données collectées doivent-elles être strictement nécessaires au regard de la finalité du traitement.
Il faut comprendre que selon les cas, nombre de données à caractère personnel ne peuvent pas être collectées, tout simplement parce qu’il existe probablement d’autres moyens plus efficaces et moins intrusifs pour envisager la finalité du traitement.
Ainsi, dernièrement, le Conseil d’État s’est positionné contre l’utilisation de services de géolocalisation en tant qu’outil de contrôle de la durée de travail des salariés, jugeant ces derniers excessifs, les sociétés disposant d’autres moyens pour assurer ledit contrôle, notamment des documents déclaratifs.
Malgré tout, si dans l’exemple cité la géolocalisation n’est pas licite au regard de l’objectif visé, elle n’est pas interdite pour une autre finalité, comme la facturation de prestations à des clients par exemple.
Petites entreprises : mettre en œuvre le principe de minimisation
Le principe de minimisation doit être appliqué à tous les types de traitement, et ce dès la conception de nouveaux services.
Pour commencer, le responsable du traitement doit s’assurer que les données recueillies soient toutes strictement indispensables. Ainsi, dans le cadre de l’établissement d’un devis gratuit en ligne, seule l’identité et les coordonnées de l’internaute semblent nécessaires. Le numéro de la carte bancaire du client et/ou son sexe seraient, par exemple, totalement facultatifs.
Détruire vos données informatiques de manière sécurisée et conforme au RGPD
En outre, le principe de minimisation s’applique également à la durée de conservation et à l’accessibilité des données. La durée de stockage doit être raisonnable au regard de la finalité du traitement. Et les données ne doivent être accessibles qu’à une poignée de personnes qui en ont strictement besoin.
Pour résumer, le principe de minimisation doit être une priorité dès le début. Une durée de conservation des données stricte doit être fixée, jumelée à des processus d’accessibilités automatisés, sans oublier les mesures de traçabilité et de sécurité inhérentes à chaque traitement.
Lire aussi :