RGPD : Tout comprendre sur le principe de minimisation

« Minimiser » est une expression employée dans le langage commun pour réduire l’importance de quelque chose.
En matière de protection des données, l’article 5.1 du RGPD donne une tout autre définition de ce principe qui concerne la collecte des données.
En 5 min et un café, découvrons ensemble ce principe et ce qu’il signifie ! ☕️

La réponse au sondage « D’après le RGPD, une donnée collectée doit être… ? »

Pour introduire le sujet, nous vous avons proposé un sondage, le 22 février dernier sur notre page LinkedIn, en vous demandant comment une données doit être selon le principe de minimisation.
Vous avez été fort ! Sur 204 votants, 89 % d’entre vous ont « Adéquate, pertinente et limitée ». Nous allons ensemble découvrir pourquoi à la suite de l’article.

Les principes relatifs au traitement de données personnelles

La minimisation est un des 5 principes que le responsable de traitement doit respecter pour mettre en œuvre un traitement conforme au regard du RGPD.
En effet, selon l’article 5.1 du RGPD le traitement de données à caractère personnel doit répondre à plusieurs principes :

• La licité, la loyauté et la transparence,
• La limitation de la conservation,
• La limitation des finalités que nous avons expliqué la semaine dernière,
• Le principe de cet article : la minimisation,
• La sécurité,
• L’exactitude

Nous sommes en train, à l’occasion de nos articles de blog et nos épisodes de 1 minute pour tout comprendre, de vous présenter et expliquer en détails chacun de ces principes. Suivez-nous pour n’en rater aucun. La semaine prochaine nous aborderons le principe de sécurité !

Comprendre le principe de minimisation

En application du RGPD, pour respecter le principe de minimisation, les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées au regard des finalités poursuivies par le responsable de traitement.
En des termes plus simples moins je collecte des données et mieux je me porte. Il faut collecter uniquement les données nécessaires pour répondre à la finalité du traitement opéré.

Par exemple si un utilisateur veut s’inscrire à une newsletter, il faut seulement demander ce qui est nécessaire pour l’envoi. Dans notre cas, l’adresse mail de l’utilisateur est largement suffisante.

Catégorie de données

Les catégories de données à collecter sont propres à chaque traitement de données. La pertinence d’une donnée s’évalue donc au cas par cas. C’est pourquoi il est nécessaire de déterminer au préalable la finalité de votre traitement. Une fois la finalité déterminée, vous êtes en mesure d’identifier les données dont vous aurez besoin pour répondre à l’objectif du traitement. Pensez ensuite à collecter le moins de données possible et soyez précis quant à leur pertinence.
Par exemple n’enregistrez seulement que le mois et le jour de naissance de votre client pour lui adresser une offre promotionnelle le jour de son anniversaire, dans l’hypothèse où connaitre l’âge de votre client ne vous est pas utile. Vous devez à chaque fois vous posez la question suivante : Est-ce que je peux continuer d’atteindre l’objectif poursuivi par mon traitement en sans collecter telle ou telle donnée ? Si la réponse est oui, c’est que certaines données sont superflues, donc vous collectez plus de données que nécessaire.

Justification et documentation

Si toutefois d’autres données doivent être collectées, il ne faut pas oublier de justifier le choix et d’informer les personnes des raisons pour lesquelles vous collectez ces données.
Dans tous les cas documentez votre réflexion et les justifications de vos choix sur le périmètre de collecte de données choisi. ?

Il existe 2 avantages pour votre organisme à cette minimisation :

• Les informations collectées seront plus facilement vérifiables et rapides à mettre à jour,
• En cas de violation de données, les personnes non-autorisées auront accès à peu d’information, le risque pour les personnes concernées sera alors limité concernant le périmètre de données concerné.

Sanction par la CNIL ?‍♂️

En 2020, une organisation syndicale a saisi la CNIL concernant des fichiers d’évaluation d’agents de la RATP, utilisés à l’occasion de réunions d’arbitrage. . La RATP a mis en œuvre un traitement de données relatif à l’évaluation des agents ; afin de constituer un fichier identifiant les personnes susceptibles d’obtenir une promotion. Dans le cadre de ce traitement, la RATP opérait un relevé du nombre de jours de grève de chaque agent, en le distinguant du nombre de jours d’absence. Pour donner suite à la plainte qu’elle avait reçue, la CNIL a effectué des contrôles et relevé un certain nombre de manquements à la réglementation applicable.
Elle a également constaté des écarts de conformité concernant la durée de conservation et la sécurité des données.

La décision de la CNIL

À la suite de ces vérifications, l’autorité de contrôle a considéré que l’indication du nombre total de jours d’absence était une donnée suffisante
pour réaliser la finalité poursuivie. A contrario, connaitre le motif des absences et en particulier ceux relatifs aux jours de grève des agents a été considéré comme excessif et non nécessaire au regard du but initial du fichier en cause. Au-delà du fait que cette collecte ne soit pas pertinente, elle pourrait de surcroit être hautement préjudiciable à l’agent considéré. Le droit de grève étant une liberté fondamentale garantie par la constitution, son exercice ne doit pas pouvoir être utilisé contre l’agent dans le cadre d’une prise de décision à son égard en matière d’avancement.
Pour les motifs précités, la CNIL a prononcé une amende de 400 000 euros et a rendu publique de sa décision.

Mission RGPD face au principe de minimisation

Vous avez du mal avec votre registre de traitement ? Vous n’avez pas le temps de réfléchir et de mettre en place concrètement votre registre de traitements ? Ou vous manquez de moyens pour être en conformité ?

✅ Avec Mission RGPD, vous identifiez simplement les finalités de vos traitements et les données collectées. Grâce à nos modèles pré remplis, vous trouverez des propositions de rédaction de finalités et de sous finalités prêtes à être utilisées. Vous pouvez évidemment les modifier si nécessaire et même créer vos propres modèles.
Ne perdez plus de temps, c’est si simple !