Le principe de Privacy by design (protection des données) du RGPD

Le principe de Privacy by design (protection des données) du RGPD

La stratégie rgpd qui est concerné vis-à-vis de ses concurrents doit prendre en compte de nos jours la protection des données personnelles. Le principe du « Privacy by design » permet de mettre en œuvre une telle stratégie.

Le traitement des données personnelles se trouve de nos jours dans les technologies ou objets proposés aux citoyens européens au quotidien (exemple : un smartphone doté de la géolocalisation). Le principe du « Privacy by design » permet une protection optimale des données personnelles dès la conception et lors de chaque usage d’une nouvelle technologie.

Grâce au principe de « Privacy by design », la protection des données personnelles n’est plus une option pour les entreprises mais une obligation inhérente à chacune de ses activités.

 

Définition et principe de « privacy by design »

Le principe de « Privacy by design » au cœur du RGPD. L’article 25 du Règlement Général de la Protection des Données (RGPD) intitulé « Protection des données dès la conception et protection des données par défaut » prévoit le principe de « Privacy by design ».

La protection des données dès la conception. Le principe de protection des données dès la conception signifie que l’entreprise doit désormais intégrer la protection des données à caractère personnel dès la conception de projets rattachés au traitement des données d’une entreprise. Cela permet de minimiser les risques d’un non-respect du traitement des données au RGPD entrant en vigueur le 25 mai 2018. L’entreprise doit prendre des mesures techniques et organisationnelles appropriées au traitement des données au regard de la finalité recherchée par l’entreprise dans le traitement.

L’application de ce principe permet donc de mettre en œuvre des mesures préventives permettant de limiter les risques d’amendes RGPD : les mesures doivent empêcher la collecte de données personnelles sans raison légitime d’une part, et la suppression de données d’une base de données s’il n’y a pas ou plus de raisons de la stocker d’autre part.

A noter : La notion du consentement dans le cadre du RGPD est aussi une notion très importante.

Ce qui change avec le principe de « privacy by design », concept nouveau du RGPD

La réaction du RGPD au phénomène du Big Data

S’est développé autour de la problématique des données personnelles un enjeu économique au fil des années dû à l’importance d’Internet dans le fonctionnement et l’activité des entreprises sur le marché mondial.

Le Big Data est une forme de richesse de l’entreprise, qu’elle doit cependant manier avec des gants. En effet, le Big Data doit également répondre aux attentes des utilisateurs. Les utilisateurs veulent se sentir protégés et en sécurité de leurs données sur Internet.

Le principe du « Privacy by Design » est la réponse aux problèmes du Big Data et de la fuite massive de données dus au Big Data à cause de l’automatisation de la collecte de données personnelles.

Ce qui change avec le principe du « Privacy by Design »

Changement de régime de protection des données personnelles. Avec l’entrée en vigueur du RGPD, les entreprises doivent passer d’un régime déclaratif et d’autorisation à une logique de responsabilisation :

  • Auparavant, des formalités préalables devaient être effectuées auprès de la CNIL après détermination des mesures de protection dans le traitement des données personnelles de l’entreprise.
  • Aujourd’hui, les mesures devront être prises par un responsable de traitement nommé dans l’entreprise. Il devra, si et seulement s’il y a contrôle de la CNIL, DPO RGPD personnelles en démontrant les mesures prises à cet effet.

En effet, la protection des clients peut faire augmenter le niveau de concurrence sur le marché par rapport à d’autres entreprises ne mettant pas en œuvre ces mécanismes.

Plus de transparence pour l’entreprise. Il faut créer une confiance entre le client d’une entreprise et l’entreprise, entre les fournisseurs de l’entreprise et l’entreprise, et surtout entre les employés de cette même entreprise avec l’entreprise. Le principe de « Privacy by design » va permettre d’allier un environnement de confiance et une optimisation de l’économie numérique.

Une expérience positive pour les clients d’une entreprise. La protection des clients peut faire augmenter le niveau de concurrence sur le marché par rapport à d’autres entreprises ne mettant pas en œuvre ces mécanismes. Grâce à la mise en œuvre du principe de « Privacy by Design », le client n’a plus besoin de prendre part à la protection de ses données. Aucune action n’est requise pour mettre une protection totale des données personnelles.

Exemple : Le client ne doit plus décocher de case dans un formulaire pour ne pas recevoir d’e-mails d’une entreprise (comme une Newsletter hebdomadaire par exemple). L’entreprise ne peut plus par défaut exploiter ces données comme elle le veut.

 

La mise en œuvre du principe de « privacy by design »

Mise en œuvre du principe dès la conception du traitement de donnée

Le principe de « privacy by design » pousse l’entreprise à adapter ses méthodes et ses techniques, dès leurs conceptions, à la protection des données prévues dans le RGPD, c’est-à-dire dès le début d’un projet ou dès la création d’une nouvelle technique. Cela permet d’avoir des techniques appropriées aux besoins réels de l’entreprise permettant de limiter la collecte des données à caractère personnel.

Attention ! le principe de Privacy by Design n’est pas une mesure de protection des données personnelles en tant que telle. C’est un principe qui rappelle aux entreprises la nécessité de créer des mesures de protections des données personnelles.

Les sept concepts illustratifs du principe de « Privacy by design »

Les sept concepts sont les suivants:

  • Mesures préventives et non correctives permettant de prévenir les violations de la protection des données personnelles
  • Protection par défaut de la vie privée (c’est-à-dire une protection implicite et automatique)
  • Protection de la vie privée dès la conception des systèmes et des pratiques entrepreneuriales
  • Sécurité et protection de la vie privée tout au long de projet, également pendant la période de conservation des données personnelles
  • Visibilité et transparence des pratiques de l’entreprise
  • Respect de la vie privée des utilisateurs
  • Protection optimale et intégrante

La différence entre « Privacy by design » et « Privacy by default » :

  • Privacy By design : Chaque action d’une entreprise qui inclue le traitement de données personnelles doit être effectuée en respectant la protection et la vie privée des personnes à chaque étape (exemple : dans les systèmes IT). Les départements IT d’une entreprise devront donc faire en sorte que la protection des données personnelles soit inhérente aux systèmes IT durant le cycle entier du système.

Bon à savoir ! La protection des données doit donc être incorporée à chaque nouvelle technologie traitant de données personnelles et lors de chaque utilisation de la technologie, même si la protection des données personnelles n’était pas prévue dès la conception de la technologie.

  • Privacy By default : une fois qu’un produit ou un service a été communiqué au public, les standards de protection des données personnelles devront être appliqués par défaut, sans manipulations extérieures nécessaires pour permettre la protection. C’est la garantie par défaut d’un niveau maximal de protection des données personnelles.

C’est-à-dire que, par défaut, seules les données susceptibles d’être réellement utilisées par l’entreprise seront collectées et stockées. Cette règle s’étend à la quantité des données personnelles, l’étendue du traitement, la durée de conservation des données et l’accessibilité des données.

Moyens de mise en œuvre du principe de « Privacy by Design » dans la politique de l’entreprise

En voici deux exemples :

  • La pseudonymisation des données : le remplacement de certaines données à caractère personnel par un pseudonyme. Cela permet de rendre la personne concernée par les données inidentifiable. La vie privée de la personne est protégée tout en permettant à l’entreprise d’utiliser les données aux finalités souhaitées. Les données sont ainsi « séparées » de l’identité de la personne.
  • La minimisation de la collecte des données : seules les données nécessaires à la finalité recherchée par l’entreprise seront collectées. C’est la politique du « strict minimum ».

Bon à savoir : la mise en place des « Privacy Enhancing Technologies ». Ces technologies permettent la minimisation des données. Ce sont des mesures permettant aux utilisateurs de concrétiser la minimisation des données : ils peuvent contrôler leurs données et les minimiser ou les rendre anonymes à leur gré.

Principe de proportionnalité des techniques utilisées. Les mesures utilisées par l’entreprise doivent être proportionnelles aux risques et aux violations que le traitement des données personnelles peut causer à la personne dont les données ont été collectées.

Le responsable de traitement. Le principe de « Privacy by design » doit être pris en compte à chaque étape du processus de traitement des données et à chaque niveau de l’entreprise. Ainsi, chaque personne touchant de près ou de loin au traitement des données personnelles doit respecter ce principe. Un responsable de traitement devra donc faire en sorte que chaque personne participant au traitement des données soit conforme à ce principe en mettant en œuvre les mesures et techniques appropriées pour garantir le respect du RGPD par défaut.