Formation RGPD: retour sur 2 principes fondamentaux

protection de donnée

Bien souvent, le Règlement Général sur la Protection des Données est présenté comme une menace pour les entreprises. On veut, volontairement ou involontairement, faire peur aux entreprises en rappelant toujours les sanctions encourues en cas de non-conformité (20 millions d’euros ou 2% à 4% du chiffre d’affaires mondial). Bonne ou mauvaise chose, chacun son opinion. Pour l’heure, intéressons-nous plutôt à 2 principes fondamentaux du RGPD qui vont grandement modifier les pratiques des entreprises en matière de manipulation et de protection des données. 2 principes souvent passés au crible durant les formations RGPD.

Le principe de minimisation

Même si ce n’est pas toujours le cas, lorsqu’on veut s’inscrire à la newsletter d’un site, il arrive qu’on doive fournir de nombreuses informations en plus de l’adresse mail: nom, adresse, numéro de téléphone, profession… Tout cela pour compléter au mieux le profil client. Mais en vertu du principe de minimisation prôné par le RGPD, ce genre de pratique deviendra illégal à partir du 25 mai 2018, jour d’application effectif du nouveau règlement sur la protection des données.

Si l’on se base sur le principe de minimisation, les entreprises devront limiter les informations qu’elles prélèvent auprès de l’internaute au strict nécessaire pour atteindre la finalité recherchée. L’application de ce principe met fin à une pratique jusqu’à lors bien ancrée dans les habitudes des entreprises: essayer d’obtenir un maximum d’information sur le client ou le consommateur (principe d’entreposage du big data).

Pratiquement, avant de collecter des données, il faudra alors se poser plusieurs questions: quelles sont les informations les plus pertinentes dont l’entreprise a besoin pour fournir son service ou son produit (durant la conception d’un nouveau produit ou d’un nouveau service)? Les informations prélevées constituent-elles le strict minimum?

Le principe de destruction des données

Depuis longtemps, les données conservées par les entreprises étaient considérées par elles comme une forme de richesse. Lorsque les informations étaient stockées sur un support papier, à un moment ou à un autre, il fallait toujours procéder à la destruction des données. Mais avec le stockage numérique, on a peu à peu acquis le réflexe de tout stocker.

Le RGPD met fin à ce genre de pratique, modifiant fondamentalement les pratiques des entreprises. Le nouveau règlement impose aux entreprises de déterminer une durée de stockage des données: un jour précis pour effacer et détruire les données. C’est une vraie révolution. Après la mise en application effective du RGPD, il va donc falloir concevoir une réelle stratégie de gestion des données (collecte et destruction) afin de se mettre en conformité avec les nouvelles normes.

Enfin, il faut noter que les principes prônés par le RGPD ne se limitent pas à la minimisation et la destruction. Il y en a encore beaucoup d’autres (privacy by design, droit à l’oubli, consentement…), et chacun d’entre eux a des impacts relativement sur les activités de l’entreprise.