La protection des données par défaut et la minimisation des données sont deux des principes qui sont définis à l’article 25 du Règlement Général sur la Protection des Données (RGPD).
Avant de songer à la destruction de leurs archives obsolètes, les entreprises doivent mettre en place des mesures techniques et organisationnelles visant à garantir que seules les données à caractère personnel nécessaires à chaque finalité du traitement soient utilisées.
Telle est en effet la vérité qui se cache derrière le principe de protection par défaut. Toutefois, ce dernier ainsi que celui de minimisation des données sont difficiles à saisir et méritent un éclaircissement.
Principe de protection par défaut vs. principe de minimisation des données
Le principe de protection par défaut, formulé dans l’article 25.2 du RGPD, est centré sur l’aspect traitement (lequel passe par la mise en œuvre de mesures techniques et organisationnelles) qui englobe la collecte des données personnelles ainsi que les opérations de traitement ultérieures.
A contrario, le principe de minimisation des données intervient quant à lui dans le contexte d’une liste tout en soulignant le fait que les données à caractère personnel doivent être adéquates et pertinentes : ledit principe se rapporte donc exclusivement aux types de données collectées.
Tandis que l’on a souvent tendance à allier les deux principes cités plus haut — notamment en ce qui concerne la collecte des données, qui est sans doute l’étape de traitement récurrente et la plus importante —, chacun conserve en réalité son indépendance et doit être considéré de façon bien distincte.
Un exemple pour bien faire la distinction entre les deux principes
Si l’on prend l’exemple d’une application mobile qui offre des services de géolocalisation ou bien de prévisions météorologiques, il va de soi que collecter l’âge, les centres d’intérêt ou les goûts alimentaires des personnes concernées n’est pas nécessaire (on retrouve ici le principe de minimisation des données ; pas besoin de collecter tout et n’importe quoi !).
En outre, l’application peut tout à fait se limiter à la collecte de la position de l’usager ou des conditions météorologiques au profit d’une actualisation toutes les 10 secondes, plutôt qu’en continu (on retrouve cette fois-ci le principe de protection par défaut, via la limitation de la fréquence de collecte d’une certaine catégorie de données).
Bien que la distinction puisse paraître peu évidente, en vérité, elle se justifie par le constat que les deux principes n’ont pas la même finalité ou objectif. En effet, le principe de minimisation des données tend à prévenir la situation où un responsable de traitement tire profit, par exemple, de la fourniture d’un service, pour imposer aux personnes concernées la collecte de données sans rapport avec la finalité escomptée.
Le principe de protection par défaut, quant à lui, organise la manière dont un responsable de traitement traite les données à caractère personnel après leur collecte, pour en assurer un niveau de protection maximal.
Lire aussi :