La minimisation des données devient réalité avec le premier avis d'application du CCPA ISMS.online

La minimisation des données devient réalité avec le premier avis d'application du CCPA

Par Danny Bradbury • 30 mai 2024

Il existe une clause dans la loi californienne sur la protection des consommateurs (CCPA) sur la minimisation des données que les Rolling Stones auraient pu rédiger. Il dit qu'en tant qu'entreprise, vous ne pouvez pas toujours obtenir les données que vous souhaitez, mais vous obtenez ce dont vous avez besoin. La minimisation des données signifie collecter uniquement suffisamment de données pour l’objectif nécessaire, et pas plus. À titre d'exemple extrême, si vous souhaitez envoyer à quelqu'un un bulletin d'information électronique, vous seriez autorisé à lui demander son adresse électronique, mais pas une copie numérisée de son permis de conduire.

Six ans après avoir rendu obligatoire la minimisation des données dans la loi, l'Agence californienne de protection de la vie privée (CPPA) a publié un avis d'application expliquant à quel point il prend cette question au sérieux.

Le CCPA permet aux consommateurs de demander aux organisations d’accéder aux données détenues à leur sujet et de les corriger ou de les supprimer si nécessaire. L'avis du 2 avril rapporte que de nombreuses organisations demandent trop d'informations lorsqu'elles répondent à ces demandes. Le message est clair : arrêtez-vous.

Faire comme les Européens

L'approche de la CPPA ici reflète étroitement celle de l'Europe, selon Odia Kagan, associée et présidente de la pratique de conformité RGPD et de confidentialité internationale chez Fox Rothschild LLP.

"La règle selon laquelle les informations que vous obtenez dans le cadre de demandes ne sont pas utilisées à d'autres fins et ne collectent que ce dont vous avez besoin est exactement la même en Europe", a-t-elle déclaré à ISMS.online. "Nous disposons de directives de l'Autorité européenne de protection des données à ce sujet."

Alors pourquoi les entreprises n’appliquent-elles pas simplement la minimisation des données comme demandé lors du traitement des demandes ? Ce n'est pas une simple évidence, souligne Kagan ; c'est un équilibre entre commodité et sécurité. C’est particulièrement important lors du traitement des demandes d’accès et de suppression d’informations.

« La suppression et l'accès sont plus importants, car vous fournissez des informations qui pourraient présenter un risque pour la personne si elles étaient compromises », dit-elle.

Les données de géolocalisation en sont un bon exemple. Si quelqu’un se fait passer pour le propriétaire légitime des données de géolocalisation et demande l’accès, il pourrait découvrir des informations sensibles. Comme le souligne Kagan, cela pourrait inclure le fait qu’elles se soient rendues dans une clinique d’avortement – une question particulièrement sensible aux États-Unis aujourd’hui.

Les demandes de suppression sont également risquées. « Et si quelqu'un demande la suppression de photos de famille ? » Elle ajoute. Les suppressions de photos au volant ne mettent peut-être pas la vie en danger, mais elles restent très bouleversantes – et potentiellement juridiquement préjudiciables au détenteur des données.

L'usurpation d'identité est une menace réelle

L'usurpation d'identité lors des demandes d'accès aux données constitue une menace réelle, comme l'a démontré le chercheur de l'Université d'Oxford James Pavur en 2019. Avec l'autorisation de sa fiancée, il prétendu être elle lors de la soumission de demandes d'accès aux données en vertu de la réglementation RGPD.

Près d'un quart des 83 entreprises qu'il a contactées et qui détenaient des données l'ont fourni sans vérifier du tout son identité, tandis que 16 % ont demandé une pièce d'identité facilement falsifiable. Il a reçu les résultats de la vérification de son casier judiciaire, ainsi que ses dossiers de voyage et ses notes scolaires.

Les entreprises doivent faire preuve de diligence raisonnable, mais ne doivent pas être trop restrictives, explique Kagan.

« Vous ne voulez pas rendre trop difficile l'exécution d'une demande et vous ne voulez pas être impliqué dans des données sensibles », souligne-t-elle. Collecter trop de données sensibles pour vérifier l'identité d'une personne ne l'expose pas seulement à des risques de mesures réglementaires ; il risque également une plus grande responsabilité si ces données de vérification sont ultérieurement violées.

Comment suivre la ligne

Alors, comment les entreprises peuvent-elles suivre la ligne sans la franchir ? L'avis d'application fournit deux exemples de la manière dont les entreprises recevant des demandes peuvent se conformer à ces règles.

Le premier exemple est une demande de refus de vendre des informations personnelles. C'est le plus simple à naviguer, car le traitement des demandes de désinscription ne nécessite aucune vérification d'identité en vertu du CCPA. Il lui suffit d’avoir les informations nécessaires pour référencer le client, comme par exemple une adresse email.

Le deuxième exemple concerne une personne qui demande à une entreprise de supprimer ses informations personnelles, alors qu’elle n’a pas de compte auprès de l’organisation. Cette entreprise doit vérifier l'identité de l'individu.

Les questions les plus fondamentales sont énoncées dans 11 CCR § 7002(c)-(d) et sont essentiellement les suivants :

Les informations que nous collectons dépassent-elles le minimum dont nous avons besoin ?
Quels sont les impacts négatifs potentiels sur les individus liés à la collecte ou au traitement de ces informations ?
Existe-t-il des mesures de protection (telles que le cryptage ou la suppression automatisée) susceptibles de protéger les consommateurs ?

Dans les exemples donnés, l'avis avertit les entreprises de se demander si elles doivent collecter plus d'informations que celles dont elles disposent déjà auprès du consommateur. Le CCPA désapprouve généralement l’idée de demander plus d’informations à des fins de vérification, sauf en cas d’absolue nécessité, et demande aux entreprises de les supprimer si elles sont collectées.

Il est temps de se préparer

Kagan avertit ses clients de se préparer à ces questions en effectuant une analyse des risques. Cela comprend l'évaluation des données dont l'organisation dispose sur l'individu, ainsi que la sensibilité de ces données. Ils peuvent déterminer le niveau d’authentification approprié en fonction de la nature de la demande et décider s’ils peuvent utiliser les données dont ils disposent déjà pour aider à authentifier une personne.

Les entreprises devraient prendre au sérieux la minimisation des données, dit-elle, car cela devient un problème clé dans le traitement des données. Le Bureau du commissaire à l'information du Royaume-Uni (ICO) a son propre l'orientation, tout comme divers États américains. La Federal Trade Commission américaine s'intéresse également de plus en plus au sujet, donnant la priorité à la minimisation des données. dans son étui contre le service de livraison d'alcool Drizly, et se concentrerait apparemment sur ce point dans sa prochaine règle de surveillance commerciale et de sécurité des données.

Différentes juridictions ont pour la plupart la même exigence : que les données collectées soient nécessaires aux fins prévues.

"Le fait que ce soit courant et simple ne signifie pas que c'est facile", conclut Kagan. « Ce n'est pas du tout facile à mettre en œuvre. Mais la norme est assez courante à l’heure actuelle.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury

La minimisation des données devient réalité avec le premier avis d'application du CCPA

Faire comme les Européens

L'usurpation d'identité est une menace réelle

Comment suivre la ligne

Il est temps de se préparer

Danny Bradbury

Articles connexes

De la sécurité périmétrique à la sécurité de l'identité

La vie après l'échéance : transformer la conformité DORA en stabilité opérationnelle

L’ère de la conformité : comment la réglementation, la technologie et le risque redéfinissent les normes commerciales

Lire la suite de Danny Bradbury

De la sécurité périmétrique à la sécurité de l'identité

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée