Seules les données à caractère personnel nécessaires à un traitement prédéfini peuvent être collectées et conservées.

Ce concept de « minimisation des données » est issu du RGPD[1] et permet d’éviter que des données à caractère personnel soient collectées et conservées inutilement :

« Les données à caractère personnel doivent être : […]
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »

— RGPD, article 5-1-c, principes relatifs au traitement des données à caractère personnel

Il n’est donc pas permis de stocker des données à caractère personnel sans raison, juste parce qu’il y a une possibilité qu’elles soient utilisées ultérieurement. Les données collectées doivent avoir une finalité prédéfinie, qui doit être communiquée[2] au moment de la collecte.

L’autorité de contrôle, c’est-à-dire la CNIL[3] pour la France, peut procéder à des contrôles pour s’assurer que les données ne sont pas conservées inutilement. La société PERFORMECLIC[4], spécialisée dans l’envoi d’e-mails promotionnels pour le compte de clients, a, par exemple, déjà été sanctionnée pour avoir, notamment, conservé les numéros de téléphone des internautes, bien qu’ils ne soient pas utilisés, la société envoyant uniquement des e-mails.

Il est aussi important de préciser que les données collectées doivent être conservées pendant une une durée prédéfinie, la plus courte possible[5].

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. Certaines informations doivent être obligatoirement communiquées aux personnes lorsque leurs données à caractère personnel sont collectées. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont collectées ? ».
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. La société PERFORMECLIC a été sanctionnée par la CNIL pour avoir notamment conservé les numéros de téléphone d’internautes, sans en faire l’usage (source : CNIL, SAN-2020-016, 7 décembre 2020, Performeclic). Voir « La société PERFORMECLIC sanctionnée pour avoir envoyer des e-mails publicitaires non sollicités ».
  5. Les données à caractère personnel doivent être stockées pendant une période prédéfinie, la plus courte possible. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».