O P T - O N

Pour un numérique responsable ...

Privacy by Design, Qu’est-ce que c'est ?

    Vous êtes ici !
  • Accueil
    • Concept RGPDMaîtriser les risques de l’infogérance (RGPD et cybersécurité)
Méthode-de-gestion-de-la-conformité-RGPD

Maîtriser les risques de l’infogérance (RGPD et cybersécurité)

Tout comprendre du concept

Privacy by design

Il convient d’abord de traduire les mots “privacy by design”. Jusqu’ici, c’est plutôt facile à comprendre : « protection de la vie privée dès la conception ». Mais encore une fois, en français, ça fait plus de mots qu’en anglais, et comme on nous l’a appris à l’école, la traduction anglais-français nécessite de transmettre le sens caché… (Lire l’article : La promulgation du RGPD aurait-elle manqué de pédagogie ?)

Lorsque l’on recherche les termes “Privacy by design”, sur un moteur de recherche, celui-ci nous propose une multitude d’explications… très floues. La plupart se contenteront de plagier ou reformuler d’autres publications.

Alors, rédigeons le 1er article original et facile à comprendre sur ce concept essentiel du RGPD, levier d’une conformité dans la durée.

Pour commencer, revenons aux sources. De toute évidence, le législateur européen lui-même n’a pas bien expliqué le concept. En effet, seul le paragraphe 1 de l’article 25 du RGPD mentionne le Privacy by Design. En quelques lignes seulement, cet article nous précise simplement que tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées”, doivent être appliquées.

Ces termes pouvant également être utilisés pour décrire le RGPD lui-même, ils ne nous permettent pas de comprendre comment appliquer la protection de la vie privée dès la conception.

Histoire du concept de Privacy by design.

Le concept nous vient d’un rapport datant de 1995 rédigé conjointement par Ann CAVOUKIAN, alors Commissaire à l’Information et la Vie Privée de l’Ontario (Canada), et par l’Autorité de protection des données néerlandaise et de l’Organisation néerlandaise pour la recherche scientifique appliquée.

Selon eux, l’objectif de protection de la vie privée doit être considéré en amont d’un projet engendrant l’utilisation de données personnelles. Pour ce faire, une réelle gestion de projet est indispensable. Le but étant de garantir aux personnes concernées que leurs données à caractère personnel sont protégées et leurs droits respectés.

Pour bien comprendre le concept de protection dès la conception.

C’est une démarche comparable à l’approche de préservation environnementale. Un projet, quel qu’il soit, se doit de prendre en compte l’impact environnemental, de la conception au recyclage. L’objectif est ainsi d’en mesurer les éventuels dommages collatéraux tout au long de sa vie. À cet égard, il faut mettre en place des mesures adaptées, afin d’en atténuer les désagréments, sans priver le projet de son intérêt économique ou encore social.

De la même façon qu’une démarche environnementale doit prendre en compte les impacts spécifiques (énergie, eau, CO2, déchets, etc), la démarche Privacy by Design repose sur l’analyse des risques inhérents au projet.

Visi-on : accompganement RGPD by design

Les 7 grands principes du Privacy by design.

Être proactif et non réactif, préventif et non correctif.

Il s’agit d’organiser le projet afin de responsabiliser les acteurs dans la prévention des risques. Ceux-ci doivent anticiper les risques pouvant porter atteinte au secret des données et à la vie privée.

Par exemple :

Appliquer la protection par défaut.

Il s’agit de protéger les données personnelles par des mesures essentielles, par exemple la formation de l’équipe projet, encadrer les sous-traitants, assurer la sécurité primaire.

Mais ce n’est pas tout, il s’agit également de respecter le principe de minimisation, et d’anticiper l’usage qui pourrait être fait des données personnelles. En sommes, c’est “brainstormer” pour se concentrer sur l’indispensable.

Par exemple, une entreprise souhaitant fidéliser ses clients et leur offrir un cadeau d’anniversaire, ne devrait pas collecter l’année de naissance. Et s’il s’agit de faire un cadeau personnalisé selon l’âge du client, une tranche d’âge peut suffire à cette personnalisation.

S’organiser autour de la sécurité dès la conception.

Les outils permettant la réalisation du projet, l’exploitation du produit, …, doivent être construits autour de la sécurité des systèmes et des procédures.

Par exemple, tout doit mettre en évidence le respect de la vie privée :

  • la documentation technique issue de la conception,
  • les procédures à destination des employés,
  • la veille sur les évolutions technologiques.

Concilier les intérêts

Nous parlons ici de « jeu à somme positive ». C’est-à-dire que la sécurité technique ne doit pas impacter l’intérêt social de la technologie, de même que l’appât économique ne doit pas inciter à négliger le respect de la vie privée.

Par exemple, une prospection commerciale vers des particuliers ne saurait être confiée à un sous-traitant hors de l’Union européenne (moins onéreux), sans s’assurer que ce prestataire respecte lui-même les règles issues du RGPD.

Assurer la protection tout au long du cycle de vie de la donnée personnelle.

L’organisation doit cartographier son système d’information, ainsi que les flux de données, afin de préparer des procédures adaptées.

Par exemple :

  • les procédures doivent prévoir comment sont stockées les données,
  • quels supports sont exclus,
  • comment et quand elles sont détruites en fin de vie,
  • et chaque étape doit être documentée.

Faire preuve de transparence

De la conception jusqu’à la fin du projet, en passant par la phase d’exploitation, le responsable de traitement doit rendre l’information facilement accessible pour tous les usagers.

Par exemple, un site internet doit inclure, une explication claire et lisible sur ce qu’il fait de la vie privée de ses clients ou usagers.

La transparence doit être un précepte dès les premières étapes de conception. C’est-à-dire que les documents de conception doivent préciser en quoi le projet respectera la vie privée.

Respecter les droits à la vie privée des utilisateurs

En 1995, la traduction était limitée à « Respecter la vie privée ». Afin de lui donner du sens, nous ajoutons volontairement « les droits des utilisateurs ».

Il s’agit en réalité du respect que chacun est en droit d’attendre quant à ses droits sur sa vie privée. L’organisation doit donc se préparer aux différents exercices des droits que les citoyens vont lui adresser.

Par exemple, un constructeur automobile proposant son propre système d’assistance intégré au véhicule, doit être en mesure de répondre sous un mois à une demande d’effacement, ou de portabilité des données vers une autre marque. Dans cet exemple, les données concernées peuvent être : la géolocalisation des déplacements, les accidents éventuels, les stations de radio favorites…

Conclusion sur le Privacy by design.

Il s’agit bien de mettre le respect de la vie privée à la base d’un projet de service, de produit, de création d’entreprise, ou même d’association à but non lucratif.

Cela sous-tend la nécessité de considérer l’exercice comme une gestion de projet RGPD avant une simple démarche juridique.

Selon nous, le concept de Privacy by Design a vocation à devenir l’un des piliers de la Responsabilité Sociétale des Organisations (RSO).

À propos de l'auteur

Référencé activateur numérique et Planet Tech’Care, Opt-on est le premier cabinet de conseil en éthique du digital en France. Nous accompagnons les organisations dans leur volonté de participer à une numérisation soutenable : conformité RGPD, éco-conception numérique, audit RGAA.

Et si on parlait de votre projet ?

Opt-on est un cabinet de conseil en numérique éthique et responsable : conformité RGPD, accessibilité et écoconception numérique.

Siège Hauts-de-France

Rue Duez - 80560 Varennes

Agence Nouvelle-Aquitaine

6 rue Virginie Hériot - 17000 La Rochelle

label-conformite-rgpd

2023 Copyright © Opt-On SAS all rights reserved.