Minimisation des données
La minimisation des données est un principe fondamental du RGPD qui impose de ne collecter et traiter que les données personnelles strictement nécessaires à la finalité déclarée. Ce principe oblige les organisations à justifier chaque donnée collectée et à éviter toute accumulation excessive d'informations.
Inscrite à l'article 5(1)(c) du RGPD, la minimisation des données exige que les données personnelles soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe s'applique dès la conception du système (privacy by design) et tout au long du cycle de vie des données.
Dans le domaine du KYC, la minimisation des données représente un défi particulier. Les obligations réglementaires imposent la collecte de nombreuses informations (pièce d'identité, justificatif de domicile, source des fonds), mais le principe interdit d'aller au-delà de ce qui est strictement requis. Par exemple, une vérification d'identité pour un compte bancaire de base ne justifie pas la collecte d'un bulletin de salaire si la réglementation ne l'exige pas.
Les solutions de vérification documentaire modernes intègrent ce principe en proposant des approches de « vérification sélective » : extraire uniquement les champs nécessaires d'un document, masquer automatiquement les informations non pertinentes, et supprimer les copies des documents une fois la vérification effectuée. Cette approche réduit le risque en cas de violation de données et simplifie la conformité RGPD.
Réglementations
Exemples concrets
- 1.Une plateforme de location immobilière demande une copie du passeport, un relevé bancaire des trois derniers mois et une fiche d'imposition : la CNIL juge la collecte du relevé bancaire disproportionnée pour une simple vérification d'identité locative.
- 2.Un prestataire de vérification d'identité configure son système pour extraire uniquement le nom, la date de naissance et la photo d'une pièce d'identité, sans stocker le numéro de sécurité sociale visible sur certains documents.
- 3.Un cabinet d'experts-comptables supprime automatiquement les copies de documents d'identité 30 jours après la validation du client, ne conservant qu'un hash de vérification et la date de contrôle.