+33 1 86 65 20 01

Protéger les données par la « Privacy by Design »

Avec l’application du RGPD, vous avez sans doute entendu parler de la Privacy by Design, un terme qu’il n’est pas toujours aisé de bien comprendre.

Et pourtant, c’est une mesure incontournable à prendre en compte pour assurer la protection des données personnelles tout au long de leur utilisation. Que signifie vraiment Privacy by Design ? Qu’implique cette notion, et comment se mettre en conformité ?

Définition de Privacy by design

Le principe de Privacy by Design n’offre pas de traduction convaincante en français. On peut l’interpréter comme une Protection Intégrée de la vie privée des utilisateurs.

C’est une notion au cœur du RGPD qui vient hisser le concept de protection des données en amont de toute création de produits, afin de garantir le respect du RGPD tout au long de sa commercialisation.

L’intervention du RGPD en amont vise donc à ancrer le principe de protection des données dès la conception d’un produit.

De cette manière, le risque de non-conformité est minimisé, et les mesures organisationnelles sont intégrées aux processus entourant le produit ce qui facilite leur mise en œuvre.

Par ailleurs, la Privacy by Design permet aussi de mettre fin aux collectes des données illégitimes.

La Privacy by Design se déploie en sept principes fondamentaux, tous relatifs à des volets chers à l’esprit du RGPD.

1- Prendre des mesures proactives et préventives

Ce premier axe vise à s’assurer de la conformité du produit dès son lancement et à l’entourer d’un processus efficient permettant de maitriser les risques.

L’objectif est de prévoir et prévenir les risques et incidents susceptibles de porter atteinte à la vie privée des utilisateurs, plutôt que de réagir une fois l’incident arrivé.

Cette protection intégrée n’a pas de but correctif ou réactif, et vient donc placer au premier plan la nécessité d’agir en amont encouragée par le RGPD.

On peut estimer que ce premier point a une vocation d’indicateur temporel qui permet de mieux comprendre et appliquer le RGPD. 

Cela implique que la protection des données personnelles s’effectue au début du cycle de vie d’un produit ou service.

Une fois de plus, le principe de responsabilisation fait son œuvre. Les structures doivent revoir leur organisation pour répondre à cette exigence en adoptant une réflexion sur leur traitement de données avant tout lancement de produit.

2. La protection implicite, ou « Privacy by Default »

Ce critère vise à s’assurer que les données personnelles des utilisateurs sont protégées de « base », autrement dit que l’utilisateur bénéficie d’une protection intégrée et implicite. Ce premier point est d’autant plus essentiel quand on connait les anciennes pratiques du traitement de données, où c’était davantage l’utilisation des données qui était implicite, tout comme l’accord de l’utilisateur.

Avec la Privacy by Default, le RGPD sonne la fin des cases pré-cochées et des mentions légales dissimulées dans les conditions générales d’utilisation. Désormais, l’utilisateur est considéré comme ne donnant pas son accord par défaut. Son consentement doit être récupéré par une action positive, après qu’il ait été préalablement informé de la finalité du traitement de ses données et de ses droits.

3. La protection de la vie privée dès la conception des produits et durant leur utilisation

Ce principe se réfère à la nécessité d’intégrer la protection de la vie privée dès la conception du produit afin qu’elle protège l’individu tout au long de son utilisation. A l’inverse des mesures « greffées » en cours d’utilisation, cette méthode permet de mettre en place des mesures adaptées au produit et à l’organisation de la structure.

La protection devient alors systématique et est mise en œuvre avec une véritable corrélation entre la finalité du traitement des données et celle du produit. Ce système permet de s’assurer que les mesures de mises en conformités au RGPD ne porteront pas atteinte à l’intégrité et au bon fonction du produit, et qu’elles seront en accord avec les obligations requises par la loi. La protection est intégrée aux systèmes informatiques comme à l’organisation de la structure.

4. La protection des données doit être intégrale et optimale

En instaurant ainsi une protection en amont, la structure peut s’assurer de la mise en place de mesures intégrales et optimales. L’objectif est ici d’éviter de faire naitre des conflits d’application entre les mesures optimales, qui protègent efficacement les données, et des mesures intégrales, qui protègent l’utilisateur tout au long de son utilisation du produit.

En analysant les principes de mise en œuvre du Privacy by Design, la structure peut trouver, dès la conception de son produit, le meilleur moyen de mettre en corrélation ses objectifs avec les obligations du RGPD. Cette réflexion en amont permet d’éviter tout impact négatif du traitement des données sur l’activité de l’entreprise. La protection des données doit au contraire renforcer la valeur ajoutée d’une entreprise en augmentant la confiance du client, et non pas la desservir en l’obligeant à greffer des processus inadaptés au produit au cours de son utilisation.

5. Assurer la sécurité tout au long de la période de conservation des données personnelles

La Privacy by design, une fois intégrée au produit, doit persister tout au long de la période d’utilisation et de conservation des données recueillies. Les mesures mises en œuvre pour assurer la sécurité des données et la protection des droits et libertés de l’utilisateur doivent répondre à une problématique de durée. Cela peut inclure la suppression des données récupérées au bout d’un certain temps, et l’application d’une durée de conservation pertinente.

La gestion de la durée du fichier de données doit donc être pensée en relation avec une problématique temporelle et en fonction de l’utilisation graduelle des informations. Le processus de destruction des données doit aussi entrer dans la mise en œuvre de la Privacy by design et permettre une suppression sécurisée de celles-ci.

6. La visibilité et la transparence

Ces deux notions sont étroitement liées au principe de vérification et de maitrises des données par l’utilisateur. En assurant la conformité de la gestion des données au RGPD, la structure s’assure de pouvoir répondre correctement aux demandes des utilisateurs souhaitant exercer leurs droits d’accès, de rectification ou d’effacement de leurs données.

Les finalités du traitement des données et les droits des utilisateurs doivent être documentés et transparents. De plus, il est nécessaire que chaque élément intégré au processus de protection des données soit transparent, visible et vérifiable.

7. Respecter la vie privée des utilisateurs

Ce dernier principe vise à garantir que la protection des données se fait dans l’intérêt des utilisateurs et dans le but de protéger leur vie privée. Les mesures mises en œuvre doivent permettre d’assurer que les traitements des données sont adéquats et pertinents, et répondent à des finalités clairement exprimées. Les mesures de protection doivent répondre à la fois aux attentes et besoins des utilisateurs, ainsi qu’aux exigences légales.

En respectant les sept grands principes de la «Privacy by Design », vous vous assurez de mettre en œuvre un haut niveau de protection des données personnelles répondant aux obligations du RGPD. Pour mieux vous y retrouver dans les actions à mener pour parvenir à instaurer des processus efficients, vous pouvez vous tourner vers un expert de la « Privacy by Design » qui vous accompagnera tout au long de votre mise en conformité.

Nous contacter

RGDP 2018

Protection des données

DPO

Conseil RGPD

Accountability

Registres

Violations

Cnil

Conformité

Consentement

Données personnelles

Droit des personnes

Privacy by design

Mesurer les risques

Mentions légales

CGV

Confidentialité

Notre équipe

Nous contacter

© Copyright all right reserved CleverRGPD