Quelles données à caractère personnel peut-on collecter ?
Seules les données à caractère personnel nécessaires à un traitement prédéfini peuvent être collectées.
Ce concept de « minimisation des données » est issu du RGPD et permet d’éviter que des données à caractère personnel soient collectées et conservées inutilement :
« Les données à caractère personnel doivent être : […]
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »
Il n’est donc pas permis de collecter des données à caractère personnel sans raison, juste parce qu’il y a une possibilité qu’elles soient utilisées ultérieurement pour une raison ou une autre. Les données collectées doivent avoir une finalité prédéfinie, qui doit être connue et communiquée[1] au moment de la collecte.
La collecte de données personnelle sans finalité prédéfinie peut être sanctionnée par l’autorité de contrôle, c’est-à-dire la CNIL en France. La société PERFORMECLIC[2] spécialisée dans l’envoi d’e-mails promotionnels pour le compte de clients a, par exemple, été sanctionnée pour avoir notamment collecté et conservé les numéros de téléphone de prospects, alors que la société n’en avait aucune utilité.
Notes et références
- ↑Certaines informations doivent être obligatoirement communiquées aux personnes lorsque leurs données à caractère personnel sont collectées. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
- ↑La société PERFORMECLIC a été sanctionnée par la CNIL pour avoir notamment conservé les numéros de téléphone d’internautes, sans en faire l’usage (source : CNIL, SAN-2020-016, 7 décembre 2020, Performeclic). Voir « La société PERFORMECLIC sanctionnée pour avoir envoyé massivement des e-mails publicitaires sans le consentement des destinataires ».