Le principe de minimisation des données dans la RGPD
Dans le monde des affaires, on se dit souvent qu'en cas de doute, il est préférable de collecter et de stocker plus d'informations que nécessaire chez un client, car ces informations supplémentaires pourraient être utiles à un moment ou à un autre. On oublie souvent que la grande majorité de ces informations supplémentaires ne sont jamais utilisées et que, parmi les collections de données généralement assez volumineuses, il est plus difficile de trouver celles qui sont réellement utiles.
De plus, la collecte de données à grande échelle nécessite des ressources telles que du temps de travail et de l'argent. Indépendamment de cela, cela va régulièrement à l'encontre du principe de minimisation des données de la directive sur la protection des données. RGPD.
Qu'est-ce que Minimisation des données et comment pouvez-vous répondre aux exigences de la RGPD mettre en œuvre ?
Importance du principe de minimisation des données selon la RGPD
Définition du principe de minimisation des données
L'article 5 de la Règlement général sur la protection des données (RGPD) énumère les grands principes de base de la protection des données qui doivent être respectés lors de l'utilisation des données. Traitement Il s'agit ici, entre autres, de la protection des données à caractère personnel. Minimisation des données, souvent appelée "minimisation des données".
Le site RGPD prévoit, dans le cadre des demandes de Minimisation des données de ce que données à caractère personnel "adéquates et substantielles au regard de l'objectif poursuivi" ainsi qu'à la Traitement être limitée au strict nécessaire". Cela signifie que les exigences suivantes doivent être respectées :
La collecte des données doit être appropriée pour atteindre les objectifs fixés de la Traitement à la réalisation de la finalité. Par exemple, lors de l'inscription à une newsletter, la collecte de l'adresse de la personne concernée n'est pas appropriée pour atteindre l'objectif (envoi de la newsletter numérique par courrier électronique) et ne doit pas être collectée à cet effet lors de l'inscription à une newsletter électronique. Il en va autrement pour l'inscription à la réception d'un catalogue de produits mensuel envoyé par la poste.
Mais que la collecte d'un certain type de données est appropriée à la finalité de la Traitement ne suffit pas à elle seule. Le principe de minimisation des données suppose également que cette collecte soit également nécessaire, car l'objectif de la Traitement ne peut pas être atteint autrement. Un exemple : la collecte de données biométriques dans le cadre d'un contrôle des empreintes digitales à l'entrée d'un bâtiment a pour but d'interdire l'accès aux personnes non autorisées. Mais il serait en outre possible d'utiliser le contrôle des empreintes digitales pour enregistrer les heures de travail des employés en Allemagne. Cet objectif peut être atteint (sans utiliser de catégories de données particulières) par exemple à l'aide d'une pointeuse ou d'un logiciel séparé - ces deux moyens devraient être moins contraignants que l'enregistrement des données. Traitement des catégories particulières de données (données biométriques).
Le fait que la collecte de certaines données soit appropriée et nécessaire à la réalisation de l'objectif ne suffit pas toujours. Le contexte de la Traitement des données joue également un rôle. Par exemple, un système de géolocalisation peut être installé sur un camion en vue d'une planification efficace de l'itinéraire, mais il ne peut être actif que pendant les heures de travail du chauffeur. Un autre exemple est celui de la Vidéosurveillance. Elle peut être utilisée à des fins de sécurité du bâtiment et de prévention des vols. Les caméras ne peuvent toutefois être utilisées que dans certaines zones, par exemple à l'entrée du bâtiment, mais pas dans les vestiaires.
La minimisation des données est-elle une bonne ou une mauvaise chose pour vous en tant qu'entreprise ?
Pour beaucoup, la minimisation des données ne semble d'abord bonne que pour les personnes dont les données sont traitées ("Personnes concernées" : client, visiteur du site web, etc.) et est généralement considéré par l'entrepreneur comme une limite à ses possibilités d'action dans le cadre de ses activités. Dans ce contexte, il est Minimisation des données ou la minimisation des données est également dans l'intérêt des entreprises. Outre le fait d'éviter d'éventuelles mesures de sanction, y compris des amendes, en raison d'une violation de la protection des données, la renonciation à la Conservation des données la recherche des données utiles. En gagnant de la place pour le stockage des données, vous pouvez également économiser des ressources.
L'établissement et l'audit du registre des activités de traitement est une bonne occasion de faire le ménage parmi les procédures que vous utilisez et les données que vous stockez. Les procédures superflues sont éliminées. Les données dont Traitement vous ne pouvez pas justifier, seront supprimées. En dehors des données que vous avez conservées, cela concerne également les données que vous ne pouvez plus identifier. Par exemple, si vous avez les coordonnées de personnes, mais que vous ne savez plus de qui il s'agit ni dans quel contexte les données ont été collectées, c'est le signe que ces données ne doivent plus être conservées.
Il est important de comprendre ici que la minimisation des données ne signifie pas l'interdiction de collecter certaines données, mais seulement de justifier leur collecte et leur utilisation. Traitement doivent avoir au total.
En outre, la Minimisation des données de plus en plus important pour la confiance des clients. Si les clients remarquent que des "trucs" sont utilisés pour en savoir plus sur eux que ce qui est nécessaire, cela peut les inciter à ne plus travailler avec l'entreprise.
Quels sont les droits d'une concernés personne en cas de non-respect du principe de minimisation des données ?
Les personnes concernées disposent de tous les droits prévus au chapitre III et à l'article 77 de la directive sur la protection des données. RGPD être représentés. Ils ont notamment le droit de Suppression des données si elles ne sont pas nécessaires à la réalisation de l'objectif de la Traitement sont nécessaires.
Quelle est la durée maximale de conservation des données ?
Les données doivent également être supprimées à un moment donné, à savoir lorsqu'il n'est plus nécessaire ou obligatoire de les conserver. Rangement n'est plus disponible. Les délais de conservation concrets dépendent fortement du contexte du traitement des données. Il est donc vivement recommandé d'élaborer et de mettre en œuvre un concept de suppression. De manière très simplifiée, les données existantes sont classées par catégories et classées en fonction de leur durée de conservation. Nécessité Les données sont assorties de délais, notamment les délais de conservation légaux et habituels dans le secteur. Dans le cadre du concept, les délais de conservation sont harmonisés pour différentes catégories de données qui sont conservées ensemble et un délai commun est fixé pour celles-ci. Un délai seul ne suffit toutefois pas, car il faut également déterminer quand il commence à courir. Par exemple, il pourrait être établi que le délai de Suppression d'un dossier client commence dès qu'il n'y a plus de contact avec celui-ci pendant trois ans.
Comment garantissez-vous la Minimisation des données?
Quelle est la question que vous devez vous poser ?
Pour chaque traitement de données, vous devez vous demander quelles données sont nécessaires à la réalisation de l'objectif. Toutes les autres données ("stockage de données") ne peuvent pas être traitées dans ce cadre ou, pour celles-ci, une norme d'autorisation/base juridique séparée doit être utilisée (par exemple, la directive sur la protection des données). Consentement).
Transparence est également très important. Ne dissimulez pas les références au traitement des données dans de longs textes contractuels ou ne subordonnez pas la conclusion du contrat à la remise d'une déclaration de confidentialité. Consentement à une autre Traitement dépendent de la nature des données. Par exemple, dans un formulaire, vous ne devez désigner comme champs obligatoires que ceux qui sont nécessaires à la réalisation de la finalité du traitement principal.
Prenons un autre exemple : En règle générale, vous n'avez pas besoin, aux fins de l'exécution d'un contrat, de savoir si un client a des enfants ou quand il est parti en vacances. Ces informations ne peuvent donc pas être utilisées sur la base de l'article 6, paragraphe 2, point b), de la directive sur la protection des données. RGPD ("exécution du contrat"). Mais il est évident qu'en tant que vendeur, vous avez un intérêt légitime à créer une base de confiance avec le client et que vous échangez pour cela quelques informations privées. Ces informations peuvent être basées sur Consentement du client sont traitées dans le but d'établir de bonnes relations avec le client. Toutefois, vous devez être le seul à avoir accès à ces informations, les éléments ne doivent pas être inscrits dans un CRM par exemple. Si un autre vendeur reprend le client, vous ne devez pas transmettre ces informations.
Préférences en matière de protection des données en tant que mise en œuvre du principe de minimisation des données
Le principe de minimisation des données a des points de recoupement avec le principe de la protection des données dès la conception (Privacy by design), qui figure à l'article 25, paragraphe 2, de la directive sur la protection des données. RGPD est présenté.
Ce principe stipule que les mesures appropriées mesures techniques et organisationnelles s'assurer que, par défaut, seuls les données à caractère personneldont les Traitement nécessaires à la finalité spécifique du traitement. Ce principe concerne entre autres les moyens qui doivent effectivement être mis en œuvre pour que le principe de minimisation des données soit respecté. Par exemple, les champs optionnels et les champs obligatoires dans un formulaire doivent pouvoir être facilement différenciés les uns des autres pour le client.
Nous vous recommandons également d'éviter les champs de saisie de forme libre dans les formulaires et de privilégier les choix déroulants ou les cases à cocher lorsqu'il ne s'agit pas de formulaires de contact et que seules certaines données sont nécessaires. Si les gens ne savent pas ce qu'ils doivent saisir, il y a un risque qu'ils donnent des informations qui ne sont pas pertinentes pour la Traitement sont inutiles.
Comme deuxième exemple, nous souhaitons mentionner la question des champs de commentaires pour les fichiers gérés par vos collaborateurs. Les autorités de surveillance ont par exemple Amende a été imposée parce que les employés des centres d'appel étaient très précis et n'étaient pas adaptés à la finalité de l'appel. Traitement des informations pertinentes sur les clients (sur leur santé,...) avec des remarques parfois même insultantes dans les champs de commentaires du système CRM. Outre la nécessité de former vos collaborateurs à la protection des données, nous vous recommandons de mettre en place un bandeau d'avertissement pour l'utilisation de ces champs de commentaires ou de limiter les entrées par des menus déroulants.
Conclusion : comment prendre une initiative de Minimisation des données réussir à mettre en œuvre ?
Vous devez évaluer toutes les données à caractère personnel que vous avez dans votre base de données, en vous assurant pour chaque Traitement demander si les données qui sont collectées sont conformes à ce principe. Ensuite, vous devez vérifier si les données collectées qui ne sont pas nécessaires peuvent être traitées dans un autre cadre. Enfin, vous devez supprimer les données pour lesquelles aucun cadre ne peut être trouvé et vous ne devez plus collecter ces données à l'avenir.
La collecte des informations pour le registre des activités de traitement devrait en fait vous donner de nombreux éléments qui vous permettront de vous faire une idée de l'état de votre organisation par rapport au principe de minimisation des données.
Comment 2B Advice peut-il vous aider à mettre en œuvre le principe de minimisation des données ?
Nous pouvons vous aider à déterminer quand des données sont nécessaires pour une Traitement et conseillent sur les cadres alternatifs pour les Traitement des données supplémentaires, lorsque cela est possible. En règle générale, nous effectuons ce travail dans le cadre de l'établissement d'un registre ou de sa mise à jour, dans le cadre de mandats externes de délégués à la protection des données ou d'un mandat spécial à cet effet. En outre, nous vous donnons des conseils sur la meilleure façon de mettre en œuvre des paramètres de protection des données.
German 
English 
Italian 
French