A. Un petit mot d’explication

 

Selon l’article 25 du Règlement général sur la protection des données à caractère personnel (le RGPD), le responsable du traitement est tenu de mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures permettant le respect du Règlement (privacy by design).

Cette notion n’est pas récente et va bien au-delà de la mise en œuvre de mesures de sécurité informatique.

Elle provient de travaux canadiens qui datent de 2010. La formulation de l’article 25 du RGPD est toutefois moins ambitieuse que le concept canadien d’Ann Cavoukian, Commissaire à l’information et à la protection de la vie privée de l’Ontario.

 

B. Implémentation de la privacy by design dans le RGPD

 

Il s’agira pour tout responsable de traitement de tenir compte des exigences liées à la protection des données personnelles dès la conception de ses projets (informatiques ou non), de ses produits ou futurs services.

Préventivement et proactivement, le responsable de traitement devra assortir ses traitement de garanties nécessaires afin de :

  1. Répondre aux exigences du RGPD mais également
  2. De protéger les droits de la personne concernée.

Le texte européen cite des exemples de mesures qui pourront aider à la mise en œuvre de ce principe comme la pseudonymisation des données qui permet de ne plus pouvoir associer des données à caractère personnel à une personne physique précise sans avoir recours à des informations supplémentaires ou la minimisation des données. La minimisation des données consiste à ne traiter que les données qui sont adéquates, pertinentes et nécessaires à la finalité du traitement envisagé. Par exemple, s’il s’agit de s’assurer qu’une personne participant à un concours a plus de 18 ans, il suffirait de lui poser directement la question sans demander à chaque participant son âge exact.

Nous conseillons fortement aux entreprises de formaliser dans « un cahier des charges » tant les contraintes juridiques découlant de ce principe de privacy by design que les contraintes techniques qui y sont liées. Ce document devrait faire partie de tout parcours de développement de tout nouveau projet.

Cette exigence rend indispensable de traiter de la sécurité également dans les contrats avec les sous-traitants notamment par des annexes « Plan d’assurance sécurité » (PAS) ou « Data breach Process » (DBP) et de confidentialité stricte.

 

C. La privacy incluse dans des technologies innovantes

 

La protection dès la conception (privacy by design) devrait aussi améliorer le ROI (« return on investment ») de l’organisation. La minimisation des données devrait elle réduire les coûts marketing et les coûts de stockage.

Toutefois, il n’est pas simple de savoir dans le RGPD comment implémenter ces principes.

Les chercheurs en privacy travaillent actuellement sur la mise au point d’outils pour donner des guidances pratiques aux responsables de traitements ainsi que sur le développement de « Privacy-Enhancing Technologies » (PET).

Les PET sont des technologies informatiques qui, par défaut, protègent les données à caractère personnel en éliminant les données inutiles ou en ne collectant que les données nécessaires aux traitements envisagés sans que le système qui est derrière perde en fonctionnalité.

Rappelons que négliger les questions de “Privacy” peut avoir des conséquences graves pour les entreprises, comme:

  • des poursuites judiciaires,
  • des vols de données business,
  • une perte de parts de marchés ou
  • des dégâts pour l’image de marque.

Il s’agit de penser « privacy » dès le début de vos projets !

Axel Beelen

 

Legal GDPR Expert
Share This