Les six principes fondamentaux de la gouvernance des données

Objectif pédagogique : Maîtriser les six principes fondamentaux (licéité, finalité, minimisation, exactitude, conservation limitée, sécurité) pour mettre en place une gestion des données personnelles conforme et responsable dans ton organisation.

À la fin de ce chapitre, tu seras capable de…

  • Identifier et appliquer les six principes de gouvernance des données dans un contexte professionnel
  • Justifier la licéité et la finalité d’une collecte de données personnelles
  • Évaluer si les données collectées respectent le principe de minimisation
  • Mettre en place une stratégie de conservation et de suppression des données
  • Protéger les données contre les risques de perte, vol ou accès non autorisé
  • Concevoir un questionnaire de conformité pour auditer ta propre gestion des données

 

Mise en contexte

Léa découvre que son entreprise collecte parfois plus d’informations que nécessaire « par précaution », garde certains dossiers clients depuis des années sans les revoir, et qu’un collègue a un jour partagé une liste de contacts avec un partenaire commercial sans en informer les clients concernés. Elle se demande : où est la limite ?

💡 Prérequis : Avoir suivi le Module 0 de ce cours.

1. Les six principes fondamentaux à connaître

1.1 Licéité

On ne collecte une donnée personnelle que pour une raison légalement justifiée : un contrat, une obligation légale, le consentement de la personne, ou un intérêt légitime proportionné.

1.2 Finalité

Une donnée collectée pour un objectif précis ne doit pas être réutilisée pour un autre objectif sans nouvelle justification.
 
Exemple : un numéro de téléphone collecté pour le suivi d’un dossier ne doit pas être réutilisé pour une campagne commerciale sans accord.

1.3 Minimisation

On ne collecte que les données strictement nécessaires à l’objectif poursuivi — ni plus, ni « par précaution ».

1.4 Exactitude

Les données doivent être tenues à jour. Une information erronée ou obsolète doit être corrigée dès qu’elle est identifiée.

1.5 Conservation limitée

Une donnée n’est pas conservée indéfiniment : une durée de conservation doit être définie selon l’objectif, puis la donnée doit être supprimée ou archivée de façon sécurisée.

1.6 Sécurité et intégrité

La donnée doit être protégée contre la perte, le vol ou l’accès non autorisé.
💡 À retenir : Ces six principes ne sont pas des contraintes administratives abstraites : ils répondent à une question simple à se poser à chaque fois que vous manipulez une donnée — « Ai-je une bonne raison de la détenir, et seulement ce qu’il me faut, pour le temps qu’il me faut ? »
Principe Question à se poser au quotidien
Licéité Ai-je une raison légitime de détenir cette donnée ?
Finalité Cette donnée est-elle utilisée pour ce qui avait été annoncé ?
Minimisation Ai-je vraiment besoin de toutes ces informations ?
Exactitude Cette information est-elle encore à jour ?
Conservation limitée Dois-je encore garder cette donnée ?
Sécurité Cette donnée est-elle correctement protégée ?
👉 Tâche 2 — Choisissez un document ou un fichier que vous utilisez régulièrement contenant des données de clients, d’usagers ou de collègues. Pour chacun des six principes, notez s’il est respecté ou non. Identifiez au moins une amélioration concrète à apporter.

2. Le consentement et les autres bases légales

2.1 Ce qu’est un consentement valable

Pour être valable, un consentement doit être :
  • Libre — donné sans pression ni contrainte
  • Éclairé — la personne comprend ce à quoi elle consent
  • Spécifique — il porte sur un usage précis, pas sur « tout usage possible »
  • Univoque — il résulte d’un acte clair, pas d’un silence ou d’une case pré-cochée
👉 Attention — Une case de consentement pré-cochée, une formulation volontairement confuse, ou un consentement « obligatoire » pour accéder à un service qui n’en a pas besoin, ne sont pas des consentements valables. Ce sont des pratiques à proscrire dans toute collecte de données.

2.2 Les autres bases légales possibles

Le consentement n’est pas la seule justification possible pour traiter une donnée :
  • L’exécution d’un contrat (ex : traiter l’adresse d’un client pour lui livrer un produit)
  • Une obligation légale (ex : conserver certains documents pour des raisons fiscales ou administratives)
  • Un intérêt légitime proportionné, qui ne porte pas une atteinte excessive aux droits de la personne
💡 À retenir : Le consentement n’est pas toujours nécessaire si une autre base légale s’applique. Mais dans le doute, ou pour les usages allant au-delà du strict nécessaire, le consentement explicite reste la voie la plus sûre.

✓ Conclusion

💡 Ce que tu maîtrises maintenant

  • Tu reconnais et appliques les six principes fondamentaux de la protection des données personnelles (licéité, finalité, minimisation, exactitude, conservation limitée, sécurité)
  • Tu peux justifier chaque collecte de données en te posant la question clé : « Ai-je une bonne raison de la détenir, et seulement ce qu’il me faut, pour le temps qu’il me faut ? »
  • Tu distingues un consentement valable d’une fausse pratique (cases pré-cochées, formulations confuses, consentement obligatoire)
  • Tu identifies les autres bases légales possibles au-delà du consentement (exécution d’un contrat, obligation légale, intérêt légitime)
Dans la suite, tu découvriras comment exercer tes droits en tant que personne concernée par une collecte de données, et comment répondre aux demandes d’accès, de rectification ou de suppression.
👉 Défi : Une PME d’import-export en Côte d’Ivoire gère une liste de 500 contacts fournisseurs depuis 8 ans, stocke des numéros de carte bancaire « par sécurité » même après paiement, et partage régulièrement les noms de clients avec des partenaires commerciaux. Applique les six principes pour identifier au moins trois manquements et propose des corrections concrètes à mettre en œuvre dès cette semaine.