Qu'est-ce que le principe de Privacy By Design du RGPD ?
Une des priorités pour les différentes entreprises et organismes est de protéger les données personnelles qui sont collectées et traitées. La protection de la vie privée doit alors intervenir dans toutes les étapes de développement du projet. C'est à ce moment qu'intervient le principe de Privacy By Design.
Ce principe a été consacré par le Réglement Général sur la Protection des Données (RGPD) de 2018 à son article 25. En effet, ce règlement impose à toute entité de mettre en œuvre des mesures techniques et organisationnelles adaptées pour assurer la protection des données personnelles.
Le principe de Privacy By Design suppose que les responsables de traitement prennent en compte la protection des données personnelles dès la conception du produit ou du service, et donc avant que les traitements de données personnelles ne soient effectués. L'objectif est de prévenir les risques d'atteinte à la vie privée et de prévoir les mesures nécessaires pour les protéger.
Ce principe permet de répondre aux problématiques actuelles liées à la circulation massive de données, ce qu'on appelle le Big Data. Il permet également de responsabiliser davantage les entreprises.
Par ailleurs, la CNIL a mis à disposition des guides sur la mise en œuvre de ce principe. Le Privacy By Design est un élément primordial dans la démarche de mise en conformité au RGPD de tout organisme. Il permet également d'éviter de potentielles sanctions infligées par la CNIL en cas de non-respect des obligations inhérentes au RGPD.
Pour vous assurer d'être en conformité avec le RGPD, faîtes appel aux experts de MyFormality.
Les piliers du principe de Privacy By Design
Le principe de Privacy By Design s'appuie sur sept piliers :
- La proactivité : il s'agit du principe de prévention des risques avant qu'ils ne surviennent.
- La protection par défaut : elle suppose de mettre en place un niveau de protection maximal de la vie privée des personnes concernées.
- La protection par conception : le plus haut niveau de protection des données personnelles doit être intégré dans les normes de conception de toutes les technologies et infrastructures utilisées au sein de l'entreprise ou organisme.
- La somme positive : il s'agit d'analyser l'ensemble des intérêts et objectifs légitimes poursuivis par l'organisme.
- La protection de bout en bout : il s'agit d'assurer la protection des données personnelles pendant toute la période où elles sont conservées, c'est-à-dire pendant toute la durée du cycle de traitement. Si le traitement n'existait pas à la conception, alors celui-ci doit tout de même être intégré.
- La visibilité et la transparence : les personnes concernées doivent être informées de manière claire et précise concernant les politiques et procédures mises en place par l'organisme au sujet du traitement de leurs données personnelles.
- La priorité du respect de la vie privée de l'utilisateur : il faut privilégier les intérêts de l'utilisateur en mettant en œuvre des mesures strictes sur la protection de leur vie privée.
La différence avec le concept de Privacy By Default
Le corolaire du concept de Privacy By Design est le principe de Privacy By Default. Ce dernier est également prévu par l'article 25 du RGPD. Ce principe suppose que le responsable de traitement mette en œuvre les mesures techniques et organisationnelles qui assurent que le traitement des données personnelles est limité aux seules finalités pour lesquelles il est prévu. Cela concerne la quantité des données qui sont collectées et l'étendue de leur traitement, la durée de leur conservation et le contrôle de leur accessibilité.
En effet, une fois que le produit ou le service est mis a été rendu public, cette communication suppose que le responsable de traitement assure la protection des données personnelles des utilisateurs, par défaut. En guise d'exemple, il s'agit notamment du fait d'assurer à un utilisateur d'une application de la confidentialité de ses données dès la première utilisation.
Ces deux principes sont différents mais permettent de protéger au mieux les données personnelles, dès la construction, puis lors de chaque usage de la technologie en question.
Comment mettre en œuvre le principe de Privacy By Design ?
Le principe de Privacy By Design suppose de mettre en application plusieurs mesures afin de protéger les données personnelles des utilisateurs.
De ce fait, les utilisateurs doivent pouvoir garder le contrôle sur leurs propres données. Cela implique d'obtenir leur consentement et de limiter la collecte des données pour éviter les potentielles fuites.
Tous les traitements mis en œuvre doivent respecter la confidentialité et la sûreté des données personnelles. Pour ce faire, voici les mesures à mettre en place :
- La pseudonymisation des données : il s'agit de remplacer les données personnelles par des pseudonymes. Elle permet de ne pas identifier directement une personne concernée et de la détacher de son identité.
- La minimisation des données : seules les données nécessaires à l'accomplissement des finalités doivent être collectées et traitées.
- Le chiffrement des données : il s'agit d'une sécurisation des données numériques par un procédé cryptographique. Une personne ne pourra pas accéder à un document si elle n'a pas la clé de chiffrement.
- La rédaction d'un rapport fondé sur la démarche du Privacy By Design : il s'agit pour un responsable de traitement ou un DPO de rédiger un état des lieux pour vérifier la conformité des processus avec le RGPD.
- La mise en oeuvre du principe de Privacy By Default
L'ensemble des mesures utilisées par l'organisme en question doivent être proportionnelles aux risques engendrés par le traitement des données personnelles.
La portée du principe de Privacy By Design
- Les avantages pour les entreprises
Les professionnels sont responsables de la mise en oeuvre des dispositions prévues dans le RGPD. De ce fait, ils doivent assurer la protection des données personnelles des clients et utilisateurs et mettre à jour les processus en cas d'évolution.
Les entreprises ne sont pas tenues de déclarer les mesures de protection auprès de la CNIL, mais doivent pouvoir les prouver dans le cas d'un contrôle.
La mise en oeuvre du principe de Privacy By Design permet d'instaurer un climat de confiance avec les utilisateurs, ainsi qu'un avantage concurrentiel avec les entreprises qui ne sont pas en conformité avec le RGPD.
- Les avantages pour les clients et utilisateurs
Le principe de Privacy By Design est bénéfique pour les clients et utilisateurs. En effet, les entreprises se tiennent responsables de la protection de leurs données personnelles. Ainsi, cela ne nécessite aucune action particulière de la part des utilisateurs, car ce sont les entreprises elles-mêmes qui sont tenues au respect de leurs obligations. Le seul acte du client concernant la protection de ses données est lorsqu'il donne son consentement au traitement des données personnelles.
Les sanctions applicables
Dans le cas où un organisme ne serait pas en mesure de prouver sa mise en conformité avec le RGPD, il s'expose à des sanctions.
En fonction de la gravité de la faute, l'organisme en question peut recevoir un avertissement ou une amende allant jusqu'à 20 millions d'euros ou 4% de son chiffre d'affaires annuel mondial. Il peut également être contraint de payer des dommages et intérêts à la personne concernée.