RGPD

Minimisation des données RGPD : Art. 5(1)(c) en pratique

Art. 5(1)(c) RGPD : le principe de minimisation impose de ne collecter que les données adéquates, pertinentes et nécessaires. Exemples par secteur et sanctions.

TD
Dr. Thiébaut Devergranne
12 avril 20267 min read

Le principe de minimisation des données, prévu à l’Art. 5(1)© du RGPD, exige que les données personnelles soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. C’est l’un des principes les plus fréquemment violés : la CNIL a sanctionné Accor de 600 000 euros (Délibération n°SAN-2022-017 du 3 août 2022) pour avoir collecté et conservé des données clients excédentaires. La minimisation des données RGPD est pourtant un levier de conformité et de réduction des risques.

Points Clés

  • L’Art. 5(1)© RGPD impose un triple critère : les données doivent être adéquates (utiles à la finalité), pertinentes (en rapport direct avec la finalité) et limitées au nécessaire.
  • Le principe de minimisation s’applique à toutes les étapes : collecte, traitement, conservation et partage.
  • La minimisation est une composante essentielle du privacy by design (Art. 25 RGPD) : les systèmes doivent être conçus pour ne collecter que le minimum requis.
  • Les sanctions pour collecte excessive sont fréquentes et substantielles, notamment dans les secteurs RH, marketing et santé.
  • La minimisation réduit l’exposition en cas de violation : moins de données collectées signifie moins de données compromises.

Ce que l’Art. 5(1)© exige

Le texte de l’Art. 5(1)© est concis :

« Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »

Trois critères cumulatifs se dégagent :

Adéquation : les données collectées doivent être utiles pour atteindre la finalité déclarée. Collecter la date de naissance d’un client pour lui envoyer une newsletter est inadéquat — cette donnée n’apporte rien à la finalité de communication commerciale.

Pertinence : les données doivent avoir un rapport direct avec la finalité. Collecter le numéro de sécurité sociale pour un programme de fidélité commercial n’est pas pertinent.

Limitation au nécessaire : seules les données dont l’absence empêcherait d’atteindre la finalité doivent être collectées. C’est le critère le plus exigeant : il impose de distinguer ce qui est nécessaire de ce qui est simplement utile ou commode.

Minimisation et privacy by design (Art. 25)

L’Art. 25(1) RGPD impose au responsable de traitement de mettre en oeuvre, dès la conception et par défaut, des mesures techniques et organisationnelles garantissant la minimisation. L’Art. 25(2) précise que par défaut, seules les données nécessaires à chaque finalité spécifique sont traitées.

En pratique, cela signifie :

  • Les formulaires ne demandent que les champs obligatoires pour la finalité
  • Les champs optionnels sont clairement identifiés comme tels
  • Les systèmes de collecte n’imposent pas de renseigner des données non essentielles
  • La durée de conservation est limitée dès la conception du système
  • L’accès aux données est restreint aux personnes qui en ont besoin (need-to-know)

Le CEPD (Lignes directrices 4/2019 sur l’Art. 25) insiste : le privacy by design n’est pas une option, c’est une obligation juridique dont le non-respect est sanctionnable.

Exemples par secteur

Ressources humaines

Conforme : un formulaire de candidature demande nom, prénom, coordonnées, CV et lettre de motivation. Les informations nécessaires à l’évaluation de la candidature.

Non conforme : le même formulaire demande le numéro de sécurité sociale, la situation familiale, la photo, la nationalité et le nombre d’enfants. Ces données ne sont pas nécessaires à l’évaluation d’une candidature. La CNIL a rappelé à plusieurs reprises que seules les données strictement nécessaires à l’évaluation des compétences doivent être collectées en phase de recrutement.

Marketing et prospection

Conforme : une inscription à une newsletter demande l’adresse email et éventuellement le prénom pour la personnalisation. Le consentement est recueilli séparément.

Non conforme : le formulaire d’inscription à la newsletter demande l’adresse postale, le numéro de téléphone, la date de naissance, la profession et les centres d’intérêt. Ces données ne sont pas nécessaires à l’envoi d’une newsletter par email.

Santé

Conforme : un médecin collecte les antécédents médicaux pertinents pour le diagnostic, les allergies, et les traitements en cours.

Non conforme : un employeur accède au diagnostic médical détaillé d’un salarié en arrêt maladie. L’employeur n’a besoin que du certificat d’aptitude/inaptitude délivré par le médecin du travail, sans détail clinique.

E-commerce

Conforme : une commande en ligne collecte le nom, l’adresse de livraison, l’adresse de facturation et les coordonnées de paiement.

Non conforme : le même formulaire impose de créer un compte avec mot de passe, date de naissance, numéro de téléphone et question de sécurité pour une commande ponctuelle. L’achat en mode « invité » doit être proposé.

Lien avec la durée de conservation

La minimisation ne concerne pas seulement le volume de données collectées, mais aussi la durée de conservation. L’Art. 5(1)(e) (limitation de la conservation) est le corollaire temporel de la minimisation. Conserver des données au-delà de ce qui est nécessaire revient à traiter des données excessives.

La CNIL considère que la minimisation et la durée de conservation doivent être analysées conjointement : des données initialement nécessaires deviennent excessives dès que la finalité est atteinte. Le responsable de traitement doit mettre en place des procédures d’effacement ou d’anonymisation automatiques.

Sanctions CNIL pour collecte excessive

CNIL, Délibération n°SAN-2022-017 du 3 août 2022 : Accor a été sanctionné de 600 000 euros pour avoir conservé des données de clients (historique des séjours, préférences détaillées) au-delà des durées nécessaires et sans finalité justifiée pour le niveau de détail collecté.

CNIL, Délibération n°SAN-2020-003 du 27 juillet 2020 : Spartoo a été sanctionnée de 250 000 euros pour l’enregistrement intégral des appels téléphoniques des clients (voix + données bancaires dictées oralement) sans limitation aux données nécessaires et sans information des personnes.

CNIL, Délibération n°SAN-2019-007 du 18 novembre 2019 : la CNIL a sanctionné Futura Internationale de 500 000 euros pour la collecte de données RH excessives, incluant le numéro de sécurité sociale des candidats dès la phase de recrutement et des commentaires subjectifs disproportionnés dans les fichiers de suivi.

Legiscope analyse automatiquement les formulaires et flux de données pour identifier les champs excédentaires au regard des finalités déclarées, et propose des recommandations de minimisation conformes aux exigences de la CNIL.

Mise en oeuvre : checklist de minimisation

Pour chaque traitement, posez les questions suivantes :

  1. Chaque donnée collectée est-elle réellement nécessaire ? Si la finalité peut être atteinte sans cette donnée, supprimez-la du formulaire.
  2. Les champs obligatoires sont-ils justifiés ? Un champ obligatoire doit correspondre à une donnée sans laquelle le traitement ne peut pas fonctionner.
  3. L’accès est-il limité au besoin ? Seuls les collaborateurs qui utilisent effectivement la donnée doivent y avoir accès.
  4. Les données sont-elles effacées à l’expiration de la finalité ? Mettez en place des routines d’effacement ou d’anonymisation automatiques.
  5. Les données partagées avec des tiers sont-elles limitées au strict nécessaire ? Le contrat de sous-traitance (Art. 28 RGPD) doit préciser les catégories de données transmises.

FAQ

La minimisation empêche-t-elle de collecter des données « au cas où » ?

Oui. Le principe de minimisation interdit la collecte préventive de données sans finalité déterminée. La CNIL a explicitement condamné la pratique du « data hoarding » : collecter un maximum de données en prévision d’une utilisation future non définie. Chaque donnée collectée doit être rattachée à une finalité précise et documentée dans le registre des traitements.

Comment concilier minimisation et analytics ?

La minimisation n’interdit pas l’analyse de données, mais impose de la structurer. Privilégiez l’anonymisation ou la pseudonymisation pour les analyses statistiques. Utilisez des données agrégées plutôt que des données individuelles lorsque c’est suffisant. La CNIL accepte les analytics basés sur des données minimisées et anonymisées sans consentement préalable.

La minimisation s’applique-t-elle aux sauvegardes ?

Oui. Les sauvegardes contenant des données personnelles sont soumises au RGPD, y compris au principe de minimisation. Lorsqu’une donnée est effacée du système principal, elle doit également être supprimée des sauvegardes dans un délai raisonnable. La CNIL reconnaît que des contraintes techniques peuvent justifier un délai supérieur pour les sauvegardes, à condition qu’il soit documenté et proportionné.

Quel est le lien entre minimisation et sécurité des données ?

La minimisation est un levier de sécurité : moins de données collectées signifie moins de données exposées en cas de violation. L’Art. 32 RGPD (sécurité) et l’Art. 5(1)© (minimisation) se renforcent mutuellement. Un organisme qui ne collecte que le nécessaire réduit mécaniquement l’impact potentiel d’une fuite et limite son exposition aux sanctions.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →