Depuis 2018, le sujet RGPD concerne toutes les entreprises et est devenu incontournable dans le traitement et les processus de stockage des données. Avec la loi RGPD, les entreprises ont été mises dans l'obligation non seulement d'être responsables dans le traitement des données personnelles, mais aussi d'en assurer la protection.
L'article 5 du RGPD traite des "principes relatifs au traitement des données à caractère personnel" et dans le paragraphe 1, point c, on trouve le terme de réduction des données.
La réduction des données est l'un des principes du traitement des données à caractère personnel : ainsi, la loi prévoit que les données à caractère personnel doivent être " adéquates et pertinentes au regard de la finalité et limitées à ce qui est nécessaire aux fins du traitement ". (Source : art. 5, al. 1, let. c. RGPD).
L'idée directrice sous-jacente au terme de réduction des données est que les données à caractère personnel ne doivent jamais être collectées que si elles sont absolument nécessaires pour la finalité en question. L'accent est mis ici sur l'étendue des données ainsi que sur le type et la durée du traitement. Si ces points ne sont pas remplis, les données ne doivent pas être collectées. (source)
Ce qui n'est pas collecté ne doit pas être stocké et, par conséquent, ne doit pas être protégé ou supprimé ! Cela semble étrange, mais c'est ainsi ! - C'est l'avantage évident de la réduction des données. Cette section de la loi empêche ou interdit la collecte "inutile" de données non pertinentes. L'objectif est donc de ne disposer que de données "pures", sans attributs, par exemple, qui ne sont pas pertinents pour le processus de traitement des données par exemple - mot-clé : déchets de données.
Si l'on prend l'exemple des boutiques en ligne, celles-ci ne peuvent par exemple collecter que les données à caractère personnel absolument nécessaires au processus de commande.
En tant qu'utilisateur, on reconnaît ces données au fait qu'elles sont marquées comme obligatoires. Toutes les autres données doivent être facultatives pour le client. Dès que ce n'est pas le cas et que les données ne sont pas pertinentes pour le processus de commande, il y a violation de la protection des données et l'entreprise est passible de sanctions. Il s'agit d'un exemple courant de réduction des données au sens du RGPD.
D'une manière générale, il faut toujours se demander si la collecte de données (par exemple par le biais d'enquêtes) est encore conforme au RGPD et si le catalogue de questions et la collecte des données sont toujours conformes au RGPD. Dans ce cas, une entreprise doit toujours se poser la question suivante : "La collecte relève-t-elle déjà de la loi sur la réduction des données ?".
Dans la pratique, les points suivants peuvent aider :
✅ Réduction des attributs des personnes concernées à collecter.
✅ Définition de restrictions en tant que paramètres par défaut - qui permettent le traitement des données à caractère personnel uniquement avec la finalité d'utilisation correspondante possible.
✅ Suppression des champs de données par l’anonymisation des données.
✅ Procédures et routines automatisées de blocage, de pseudonymisation et d'anonymisation.
✅ Définition et mise en œuvre d'un concept de suppression (source)
Lors de la collecte de grandes quantités de données, la question se pose toujours de savoir comment concilier le projet avec le principe de réduction des données. Dans ce cas, les entreprises misent généralement sur l'anonymisation ou la pseudonymisation des données à caractère personnel. De cette manière, les données peuvent être traitées sans qu'il soit possible d'identifier des personnes concrètes. Les données à caractère personnel sont ainsi protégées et traitées conformément au RGPD.
Nous avons expliqué plus en détail dans un autre article de blog ce qui se cache derrière l'anonymisation et la pseudonymisation.
Avec Libelle DataMasking, le Libelle IT Group a développé une solution pour l'anonymisation et la pseudonymisation requises. Cette solution a été conçue pour produire des données anonymisées et logiquement cohérentes sur les systèmes de développement, de test et de qualité sur toutes les platesformes.
Les méthodes d'anonymisation utilisées fournissent des valeurs réalistes et logiquement correctes qui peuvent être utilisées pour décrire des études de cas pertinentes et les tester de manière significative de bout en bout. En outre, les développeurs comme les utilisateurs disposent d'une base de données "propre" avec laquelle ils n'ont pas à se soucier de la protection des données.