Il est tentant de considérer le GDPR comme une longue, ennuyeuse et parfois alambiquée case à cocher de conformité. Pourtant, le GDPR est censé être un modèle de bonne gouvernance des données plutôt qu'une simple liste de choses à faire et à ne pas faire sur le plan juridique. Vous pouvez examiner chaque article, vous assurer que vous êtes en conformité et passer à autre chose. Vous pouvez aussi vous inspirer du règlement pour élaborer des stratégies avantageuses et conformes.
La semaine dernière, Miloš Novović et Rie Aleksandra Walle ont abordé certaines règles importantes de la bonne gouvernance des données dans leur génial podcast Grumpy GDPR, notamment la minimisation des données. Leur discussion nous a incités à écrire également sur ce sujet.
Nous voulons montrer comment la minimisation des données peut jeter les bases de stratégies intelligentes de gouvernance des données qui associent la protection de la vie privée, la conformité et des décisions commerciales judicieuses.
- Qu'est-ce que la minimisation des données ?
- Peut-on faire plus avec moins ?
- Les données ne sont pas le nouveau pétrole, mais les nouvelles actions
- Comment puis-je minimiser mes données ?
- Conclusions
Entrons dans le vif du sujet !
Qu'est-ce que la minimisation des données ?
L'article 5, paragraphe 1, point c), du RGPD stipule ce qui suit : "les données à caractère personnel sont (...) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". En un mot : vous ne devez collecter et traiter que les données dont vous avez besoin. C'est ce qu'entendent les avocats spécialisés dans le droit des données lorsqu'ils parlent de minimisation des données.
La minimisation des données est l'un des principes fondamentaux du GDPR et est strictement liée à d'autres principes tels que la limitation de la finalité et la limitation du stockage. La minimisation des données joue un rôle crucial dans la conformité, mais il y a d'autres raisons de prendre ce principe au sérieux.
Peut-on faire plus avec moins ?
La plupart des entreprises considèrent les données comme un actif : elles en veulent autant que possible. Il est facile de se rallier à cette attitude générale et d'oublier que les données ont un coût. Il est évident que les coûts techniques augmentent avec le volume de données, que le traitement soit effectué en interne ou sous-traité à un sous-traitant.
Mais les coûts opérationnels ne sont pas les seuls à prendre en compte. Le traitement des données à caractère personnel entraîne des coûts de conformité élevés. Les responsables du traitement sont soumis à de nombreuses obligations : ils doivent répondre aux demandes des personnes concernées, veiller à la cybersécurité et à la sécurité organisationnelle, etc. S'ils font appel à un sous-traitant, ils doivent également s'assurer que celui-ci respecte le GDPR. Rien de tout cela n'est simple, et cela devient de plus en plus coûteux et compliqué lorsque vous traitez davantage de données.
Les coûts et les risques liés à la conformité ne dépendent pas uniquement du volume des données : leur nature a également un impact significatif. En règle générale, plus les données sont pertinentes, plus les coûts sont élevés. Les données de localisation sont plus sensibles que les informations de contact, et vous devez donc mettre en place des systèmes de sécurité plus robustes pour faire face aux risques. Cela est particulièrement vrai pour les catégories spécifiques de données faisant l'objet d'une protection spéciale en vertu du GDPR, telles que les données de santé, l'orientation sexuelle et les convictions politiques. Le traitement de ces types de données rend également la mise en conformité plus contraignante pour le responsable du traitement, car des règles plus strictes s'appliquent.
Enfin, plus vous traitez de données, plus il est probable que quelque chose se passe mal à un moment ou à un autre, et plus votre position sera mauvaise si cela se produit. Supposons que votre entreprise fasse l'objet d'une enquête pour une raison quelconque. Dans ce cas, la dernière chose que vous souhaitez est qu'une autorité de protection des données découvre que vous avez traité des données dont vous n'avez pas vraiment besoin, car les autorités de protection des données ont tendance à prendre très au sérieux le principe de minimisation des données. Et, bien sûr, stocker de plus grandes quantités de données signifie que vous risquez une violation de données plus importante, qui peut avoir de graves conséquences et attirer une attention médiatique non désirée sur votre entreprise.
Les données ne sont pas le nouveau pétrole, mais les nouvelles actions
L'expression "les données sont le nouveau pétrole" est désormais courante, mais les actions sont sans doute une meilleure métaphore. Les actions peuvent vous faire gagner beaucoup d'argent ou vous en faire perdre beaucoup. Les investisseurs qui réussissent ont une stratégie claire en tête et sont conscients des risques qu'ils prennent.
Lesdonnées doivent être abordées avec le même état d'esprit. Vous ne devez pas collecter des données simplement parce que vous le pouvez. Vous devez vous demander quel objectif je souhaite atteindre en traitant des données. De quelles données ai-je réellement besoin pour atteindre cet objectif ? L'objectif en vaut-il la peine ? Ai-je vraiment besoin de toutes les données dont je dispose déjà, ou puis-je tirer profit de l'effacement de certaines d'entre elles ?
Un état d'esprit de minimisation des données peut vous faire économiser de l'argent et des maux de tête liés à la conformité, simplifier l'aspect technique de votre activité et aider votre entreprise à se forger une réputation de bonne gouvernance des données et de respect de la vie privée. Enfin et surtout, elle peut contribuer à la construction d'un meilleur Internet, où chaque communication, chaque clic et chaque interaction ne sont plus traqués par cupidité aveugle.
Comment puis-je minimiser mes données ?
Il n'y a pas de réponse toute faite, mais se poser les bonnes questions peut être un bon point de départ :
- Quelles sont les données personnelles que je traite ?
- Dans quel but les traite-je ?
- Est-ce que je les traite d'une manière qui permet d'atteindre cette finalité ?
- combien de temps est-ce que je conserve mes données ? Et pendant combien de temps dois-je les conserver ?
Bien entendu, il est probable que vous traitiez différents types de données à caractère personnel - par exemple, des données d'analyse pour votre site web, des informations de contact pour votre lettre d'information, des données relatives à vos employés et des informations de paiement de la part de vos clients. Il est préférable de considérer chacun de ces types de données séparément plutôt que de les regrouper.
La première question est probablement la plus difficile, car la définition des données à caractère personnel dans le cadre du GDPR est délicate. Les données personnelles ne se limitent pas à des informations permettant d'identifier une personne, telles qu'un nom ou une adresse électronique. Nous avons abordé ce sujet il y a peu dans notre FAQ GDPR, mais nous avons à peine effleuré la surface.
Aucune de ces questions n'est facile et ce n'est pas grave si vous n'avez pas encore toutes les réponses. Garder ces questions à l'esprit peut néanmoins vous aider à mieux comprendre vos opérations de traitement des données, ce qui constitue un point de départ pour la minimisation de vos données. Une fois que vous aurez une vue d'ensemble assez claire, vous trouverez probablement des possibilités d'amélioration.
Par exemple, certaines API utilisent des cookies et d'autres non. Peut-être que certaines API de votre site web peuvent être facilement remplacées par des API moins invasives, avec peu ou pas d'inconvénients. Mais cela ne sera peut-être pas évident tant que vous n'aurez pas une vue d'ensemble des données collectées par votre site web.
Conclusions
Nous avons créé Simple Analytics en réponse au caractère invasif de Google Analytics en matière de protection de la vie privée. Nous croyons en un web indépendant et convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous essayer.