Qu'est-ce que la minimisation des données ?
À l’heure de la transformation digitale et du Big Data, l'explosion du volume de données pose un certain nombre de challenges. Et notamment au niveau légal : comment protéger les consommateurs, tout en permettant aux organisations de valoriser les données ? C’est là qu’intervient le RGPD : entré en vigueur en 2018, le Règlement général sur la protection des données encadre le traitement des données personnelles au sein de l’Union Européenne. Licéité, loyauté, transparence, intégrité, confidentialité... Il repose sur plusieurs principes fondamentaux, que vous êtes tenus de respecter en tant qu'entreprise. Parmi eux, la logique de minimisation exige des organisations de s’en tenir au strict minimum en ce qui concerne la collecte des données personnelles. Découvrez dans cet article tout ce qu’il y a savoir sur le principe de minimisation des données.
Comprendre le concept de minimisation des données
Définition
La minimisation des données constitue l’un des principes clés du traitement de données à caractère personnel. L’article 5.1.c) du RGPD définit cette mesure de la façon suivante : “les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”. Autrement dit, cela signifie que les organisations sont tenues de collecter et de traiter uniquement les données qui sont essentielles à la réalisation d’un objectif ou d’un processus précis.
Pour rappel, le terme de “données personnelles” fait référence à l’ensemble des data (nom, adresse postale ou adresse mail, données bancaires, photo, numéro de téléphone, …) qui permettent d'identifier une personne physique.
Si une entreprise souhaite recueillir des données appartenant à ses clients ou à ses employés, celle-ci devra donc s’assurer que les informations collectées demeurent :
- Adéquates : elles suffisent à remplir un objectif donné ;
- Pertinentes : les données possèdent un lien rationnel avec l'objectif poursuivi ;
- Limitées : l’entreprise ne conserve que les données dont elle a réellement besoin.
L'obligation de “minimiser” les données pour les entreprises
Depuis sa mise en place en mai 2018, le RGPD impose aux entreprises européennes de collecter moins, mais mieux. Néanmoins, la définition fournie reste générique. Celle-ci ne fait pas réellement la distinction entre les données pouvant être recueillies et celles qui n’ont pas vocation à l’être. C’est là toute l'ambiguïté du principe de minimisation des données : si des informations paraissent adéquates dans une certaine situation ou au sein d’une organisation spécifique, elles peuvent s’avérer opposées au cadre réglementaire à l’occasion de circonstances différentes.
Prenons un exemple concret : une entreprise de location de voitures souhaite installer un dispositif de géolocalisation sur ses véhicules. La finalité poursuivie est ici la sécurité de son équipement. Si le dispositif de surveillance capte le moindre mouvement du conducteur en continu (trajet, position en temps réel…), alors la collecte d'informations ne sera pas limitée à un objectif précis. Afin d’être alignée avec la règle de minimisation des données, l’entreprise peut dans ce cas choisir de mettre en œuvre ce système uniquement lorsqu'un client ne rend pas la voiture ou signale qu’elle a été volée.
Il en est de même avec les données bancaires : il sera tout à fait légal pour une entreprise d'enregistrer les relevés d'identité bancaire de ses salariés, dans la mesure où le service des ressources humaines en aura besoin pour la paie. En revanche, il ne sera pas approprié de demander le RIB des candidats durant un processus de recrutement dans cette même entreprise.
L'application du principe de minimisation doit donc se faire au cas par cas, afin d’éviter à tout prix la non-conformité. Dans le cas contraire, les organisations s’exposent à de lourdes amendes. D’où l’importance pour celles-ci d'appréhender correctement cette notion !
Minimisation des données : quels enjeux pour votre entreprise ?
Un principe à respecter de la collecte à la suppression de la donnée
Les entreprises évoluent aujourd’hui dans un contexte Big Data : un environnement complexe, au sein duquel les individus, entreprises et technologies génèrent des données sans interruption et de manière exponentielle. Dans le même temps, on exige des entreprises qu’elles limitent la quantité de données personnelles traitées. Ces deux logiques semblent aller à contresens : il faut pourtant réussir à concilier minimisation des données et Big Data pour pouvoir développer son business sur le marché.
Le principe de minimisation des données concerne non seulement la phase de collecte des informations, mais également leur stockage et leur validité. Elle impacte en réalité l’intégralité de leur cycle de vie. Afin de respecter le règlement en vigueur, il est primordial de :
- Restreindre la collecte de données aux data nécessaires au regard de vos procédures et projets uniquement ;
- Limiter la manipulation aux données par les collaborateurs : seules les personnes en charge du traitement et de l’analyse de la donnée sont autorisées à y accéder.
- Supprimer la donnée via des processus automatiques dès lors qu'elle devient obsolète : la durée de vie de la donnée ne doit pas dépasser le cadre de son utilisation. Vous devez être en mesure de justifier pourquoi vous sauvegardez ces informations.
Les avantages de la minimisation des données
En tant qu'entreprise, la règle de la minimisation des données semble constituer à première vue une contrainte : elle est avant tout un principe à respecter qui vous permet d'assurer la conformité aux contrôles du RGPD. Saviez-vous qu'elle présente néanmoins des atouts non négligeables ? Parmi eux, on retrouve :
- L'amélioration de la gestion des données : collecter les données essentielles au fonctionnement de l'activité, c’est finalement privilégier la qualité à la quantité. Et qui dit données de qualité dit forcément une meilleure performance globale de l'entreprise. Associée à une politique de gouvernance des données efficace, ces ressources précieuses aident les entreprises à prendre des décisions éclairées, à se distinguer de la concurrence et à identifier de nouvelles opportunités commerciales.
- La réduction du coût de stockage et la diminution de l’empreinte écologique : la conservation des data représente un coût important qui pèse sur les finances des entreprises. Et plus les données s’accumulent, plus le budget dédié au stockage a tendance à s'étirer. Collecter des données avec parcimonie revient à s’assurer de fonctionner avec le strict nécessaire et donc à réduire ses coûts de stockage, ainsi que son impact sur l'environnement.
- L'optimisation de la protection des données : les data sont devenues de véritables marchandises. Particulièrement recherchées par les cybercriminels, les données personnelles voire confidentielles se vendent aujourd'hui à prix d’or sur le dark web. La minimisation des données représente donc un moyen de conserver une base de données restreinte, qui aura une valeur moindre aux yeux des cybercriminels. Vous limitez ainsi les risques de failles informatiques et de vol de données sensibles.
- La création d’une relation de confiance avec les consommateurs : objets connectés, réseaux sociaux, géolocalisation permanente... Les individus ont aujourd'hui de plus en plus tendance à se méfier de la façon dont les entreprises tirent parti de leurs données personnelles. Si la collecte de données à des fins publicitaires est à présent encadrée par le RGPD, ceux-ci réclament une plus grande maîtrise de leurs data. La préoccupation est telle qu’ils vont même parfois jusqu'à donner des informations erronées. Afin de rétablir une relation sereine entre marques et clientèles, les entreprises doivent pouvoir garantir une utilisation raisonnée des données reçues. Savoir que l'entreprise ne collecte que les éléments nécessaires (avec leur consentement) devient finalement un critère de choix pour le consommateur. Ce qui était au départ un impératif légal se transforme en une véritable opportunité d'optimiser la fidélisation client pour les entreprises.
Les bonnes pratiques liées à la minimisation des données
Définir la finalité du traitement et identifier vos besoins réels
Petite ou grosse structure, la collecte de données collectées doit être justifiée et documentée afin de rester conforme au principe de minimisation des données. Il est donc indispensable de faire le point sur ses différents process et de passer en revue les questions suivantes pour chacun d’entre eux :
- L’utilisateur sait-il que je collecte ses data ?
- Sait-il pour quels motifs je collecte ses données ?
- De quelles façons j’envisage d’utiliser ces données ?
- Est-il possible d’atteindre mon objectif sans avoir à collecter ces données ?
- Afin de réaliser cet objectif, pendant combien de temps vais-je être amené à garder ces données ?
Transformer l’information en réduisant sa sensibilité
Si cela est possible, il convient d’anonymiser (supprimer le caractère identifiant des données) ou de pseudonymiser (réduire la sensibilité par transformation) les données récoltées. Il s’agit par exemple de flouter un visage sur une vidéo de caméra de surveillance ou de supprimer une adresse IP après le traitement de l'information. Aidez-vous d’outils spécialisés afin d’assurer la conformité de vos données.
Donner le choix à l’utilisateur
Certaines données ne sont pas indispensables au fonctionnement d’un produit ou d’un service : veillez toujours à laisser l'utilisateur choisir d’activer ou pas certaines options (comme la géolocalisation). Il est également recommandé d’opter pour des champs de saisie composés de bases déroulantes. Évitez les champs de saisie en texte libre afin de ne pas détenir de données superflues.
Effacer de manière sécurisée les données inutiles
Le RGPD impose aux entreprises de conserver les données uniquement pendant la durée du traitement et de les détruire une fois votre objectif atteint. La solution : créer des stratégies de suppression automatique pour freiner la rétention de données confidentielles.