Skip to content

Le principe de Privacy by design (protection des données) du RGPD

Le principe de Privacy by design (protection des données) du RGPD

Le principe de “privacy by design” est un principe instauré par le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Il permet une protection optimale des données personnelles dès la conception et lors de chaque usage d’une nouvelle technologie.

Ainsi, grâce au principe de « privacy by design », la protection des données personnelles n’est plus une option pour les entreprises mais une obligation inhérente à chacune de ses activités.

Qu’est-ce que le principe de “privacy by design” ?

Le RGPD a instauré de nombreuses nouveautés dans le traitement des données personnelles, telles que le droit à la portabilité des données ou le principe de privacy by design. Celui-ci s’inscrit dans une volonté de protection des données personnelles. Cependant, il est important de ne pas le confondre avec le principe de “privacy by default”.

La définition

L’article 25 du Règlement Général sur la Protection des Données (RGPD) est intitulé « Protection des données dès la conception et protection des données par défaut ». Il prévoit ainsi le principe de « privacy by design ».

Le principe de protection des données dès la conception signifie que l’entreprise doit désormais intégrer la protection des données à caractère personnel, dès la conception de projets rattachés au traitement des données d’une entreprise. Cela permet alors de minimiser les risques d’un non-respect du traitement des données au RGPD.

Bon à savoir : Le traitement des données concerne toutes les opérations portant sur des données personnelles. Ainsi, cela peut porter sur la collecte, la transmission, la conservation, la modification des données, etc.

L’entreprise doit alors prendre des mesures techniques et organisationnelles appropriées au traitement des données. Celles-ci doivent s’apprécier au regard de la finalité recherchée par l’entreprise dans le traitement.

L’application de ce principe permet donc de mettre en œuvre des mesures préventives permettant de limiter les risques d’amendes RGPD. Celles-ci permettent ainsi :

  • d’empêcher la collecte de données personnelles sans raison légitime.
  • la suppression de données d’une base de données s’il n’y a pas ou plus de raisons de la stocker

La différence entre privacy by design et privacy by default

L’article 25, dans son deuxième alinéa, instaure également le principe de privacy by default. Ces deux principes s’inscrivent dans la protection des données personnelles. Toutefois, il est utile de pouvoir les différencier :

  • Privacy By design : le traitement des données personnelles doit être effectué en respectant la protection et la vie privée des personnes à chaque étape (exemple : dans les systèmes IT). Les départements IT d’une entreprise devront donc faire en sorte que la protection des données personnelles soit inhérente aux systèmes IT durant le cycle entier du système.
Bon à savoir ! La protection des données doit donc être incorporée à chaque nouvelle technologie traitant de données personnelles. Elle doit également y être ajoutée lorsque la protection des données n’était pas prévue dès la conception de la technologie.
  • Privacy By default : une fois qu’un produit ou un service a été communiqué au public, les standards de protection des données personnelles devront être appliqués par défaut, sans manipulations extérieures. Ainsi, seules les données susceptibles d’être réellement utilisées par l’entreprise seront collectées et stockées.
A noter : Cette règle s’étend à la quantité des données personnelles collectées, l’étendue du traitement, la durée de conservation des données et l’accessibilité des données. Elle garantit alors par défaut un niveau maximal de protection des données.

Comment mettre en œuvre le principe de “privacy by design” ?

Le principe de “privacy by design” repose sur plusieurs fondements principaux, tels que la protection de la vie privée et la transparence des entreprises. Plusieurs mesures peuvent ainsi être mises en place afin de respecter ce principe posé par le RGPD.

Les fondements du principe de privacy by design

Le principe de « privacy by design » pousse l’entreprise à adapter ses méthodes et ses techniques, dès leurs conceptions, à la protection des données prévues par le RGPD. En effet, l’entreprise doit appliquer le RGPD dès le début d’un projet ou dès la création d’une nouvelle technique. Cela permet ainsi d’avoir des techniques permettant de limiter la collecte des données à caractère personnel.

Attention ! le principe de Privacy by Design n’est pas une mesure de protection des données en tant que telle. En effet, c’est un principe qui rappelle aux entreprises la nécessité de créer des mesures de protections des données personnelles.

Ainsi, le privacy by design repose principalement sur sept fondements :

  • Mesures préventives et non correctives permettant de prévenir les violations de la protection des données personnelles
  • Protection par défaut de la vie privée (c’est-à-dire une protection implicite et automatique)
  • Protection de la vie privée dès la conception des systèmes et des pratiques entrepreneuriales
  • Sécurité et protection de la vie privée tout au long de projet, également pendant la période de conservation des données personnelles
  • Visibilité et transparence des pratiques de l’entreprise
  • Respect de la vie privée des utilisateurs
  • Protection optimale et intégrante

La mise en œuvre du principe

Le principe de « Privacy by design » doit être pris en compte à chaque étape du processus de traitement des données et à chaque niveau de l’entreprise. Ainsi, chaque personne concernée par le traitement des données personnelles doit respecter ce principe.

Pour cela, le responsable de traitement doit mettre en œuvre les mesures et techniques appropriées pour garantir le respect du RGPD par défaut. Cette mission est généralement confiée au délégué à la protection des données (DPO RGPD) de l’entreprise. Celui-ci peut alors par exemple procéder à :

  • La pseudonymisation des données : le remplacement de certaines données à caractère personnel par un pseudonyme. Cela permet de ne plus pouvoir identifier la personne concernée. La vie privée de la personne est protégée tout en permettant à l’entreprise d’utiliser les données aux finalités souhaitées. Les données sont ainsi « séparées » de l’identité de la personne.
  • La minimisation de la collecte des données : seules les données nécessaires à la finalité recherchée par l’entreprise seront collectées. C’est la politique du « strict minimum ».
Bon à savoir : les entreprises peuvent mettre en place des « Privacy Enhancing Technologies ». Ce sont des mesures permettant aux utilisateurs de concrétiser la minimisation des données. Ceux-ci peuvent ainsi contrôler leurs données et les minimiser ou les rendre anonymes à leur gré.

Par ailleurs, les mesures utilisées par l’entreprise doivent être proportionnelles aux risques et aux violations que le traitement des données personnelles peut causer à la personne dont les données ont été collectées.

🔎 Zoom : La manipulation des données est source d’actualités et demande une grande rigueur pour les entreprises. Aussi, afin de vous aider dans cette tâche difficile, LegalPlace vous propose de réaliser un devis de mise en conformité RGPD : une solution simple, efficace et économique pour alléger vos démarches !

Quel est l’impact du principe de “privacy by design” ?

Le RGPD a instauré de nombreux principes à respecter pour les entreprises. Ceux-ci ont ainsi eu un impact important pour les professionnels qui ont dû s’y adapter. Ils ont également eu des conséquences pour les particuliers.

L’impact pour les professionnels

Le principe de privacy by design émane directement du principe d’accountability posé par le RGPD au sein de son article 5. En effet, les responsables de traitement ont l’obligation de :

  • s’interroger sur la conformité de leurs traitements des données avec le RGPD
  • être en mesure de prouver cette conformité

Ils sont donc tenus responsables du respect des règles imposées par le RGPD. C’est pourquoi, ils doivent mettre en œuvre et actualiser les mesures garantissant le respect du traitement des données personnelles.

Bon à savoir : Les entreprises ne sont plus tenues de déclarer auprès de la CNIL les mesures de protection déterminées par l’entreprise pour le traitement des données personnelles. En effet, elles sont simplement tenues de devoir prouver leur existence en cas de contrôle.

Par ailleurs, le principe de privacy by design permet d’allier un environnement de confiance et une optimisation de l’économie numérique. En effet, les entreprises sont transparentes quant au traitement des données personnelles de leurs clients.

L’impact pour les particuliers

Comme de nombreuses dispositions mises en place par le RGPD, le principe de privacy by design offre une protection aux clients et utilisateurs. En effet, l’obligation faite aux entreprises d’appliquer des mesures protectrices des données personnelles bénéficie aux particuliers.

Ainsi, celui-ci n’a plus besoin de prendre part à la protection de ses données. En effet, aucune action n’est requise pour mettre en place une protection totale des données personnelles. A titre d’exemple, le client ne doit plus décocher de case dans un formulaire pour ne pas recevoir d’e-mails d’une entreprise (comme une Newsletter hebdomadaire par exemple). Ainsi, l’entreprise ne peut plus par défaut exploiter ces données comme elle le veut.

Toutefois, le client peut être amené à donner son consentement dans le cadre du RGPD.

A noter : La protection des clients peut faire augmenter le niveau de concurrence sur le marché par rapport à d’autres entreprises ne mettant pas en œuvre ces mécanismes.

FAQ

Qu’est-ce que le principe de privacy by design ?

Le privacy by design est un principe instauré par le RGPD, entré en vigueur en 2018. Il requiert la mise en place des mesures de protection des données personnelles dès la conception de nouveaux projets ou technologies. Ainsi, les entreprises doivent anticiper l’application des règles du RGPD lors de la création de nouveaux produits ou services.

Comment mettre en place le principe de privacy by design ?

Afin de mettre en place le privacy by design, la protection des données personnelles doit être prise en compte à chaque étape du processus de création de nouveaux projets. Ainsi, cela peut se traduire par la pseudonymisation ou la minimisation de la collecte des données personnelles.

Quand faut-il appliquer le principe de privacy by design ?

Le principe de privacy by design s’applique lors de la conception d’un produit ou d’un service. En effet, cela demande de l’anticipation de la part des entreprises. Toutefois, l’application de mesures protégeant les données personnelles ne s’arrête pas à la conception car elles doivent être mises en œuvre de manière dynamique.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 06/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments