O P T - O N

Pour un numérique responsable ...

Privacy by Design, Qu’est-ce que c'est ?

    Vous êtes ici !
  • Accueil
  • ConceptQu’est-ce que le Privacy by Design ? #RGPD
Méthode d'accompagnement à la conformité RGPD recommandée par Opt-on, permettant l'atteindre la conformité RGPD en respectant les concepts de Privacy by design et privacy by default, protection de la vie privée dès la conception et par défaut

Qu’est-ce que le Privacy by Design ? #RGPD

Et nous pourrions ajouter une question : pourquoi la protection de la vie privée dès la conception va-t-elle devenir une norme pour toute activité professionnelle ?

Le Privacy by Design dans le RGPD et sur le web.

Il convient d’abord de traduire les mots : Privacy by design. Il faut comprendre ce concept par « protection de la vie privée dès la conception ». Encore une fois, en français, ça fait plus de mots qu’en anglais… (Lire l’article : La promulgation du RGPD aurait-elle manqué de pédagogie ?)

Lorsque vous saisirez ces termes sur vos moteurs de recherches favoris, vous trouverez une multitude d’explications… très floues. La plupart se contentant de plagier ou reformuler des articles ayant déjà tenté l’exercice auquel nous nous essayons ici.

Ce concept est un pilier du RGPD et donc un levier de la conformité. Malheureusement, le législateur européen lui-même n’a pas bien expliqué le concept. En effet, seul le paragraphe 1 de l’article 25 du RGPD mentionne le Privacy by Design, en quelques lignes seulement, et nous précise pour l’essentiel que « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées… ».

Alors commençons par découvrir ce qu’a voulu nous dire le législateur européen. 

Histoire du concept de protection dès la conception

Ces termes nous viennent d’un rapport datant de 1995 rédigé conjointement par Ann CAVOUKIAN, alors Commissaire à l’Information et la Vie Privée de l’Ontario (Canada), et par l’Autorité de protection des données néerlandaise et de l’Organisation néerlandaise pour la recherche scientifique appliquée.

Leur analyse nous explique que l’objectif de protection de la vie privée devait être considéré en amont d’un projet engendrant l’utilisation de données personnelles. Il en découle donc une réelle gestion de projet. Le but étant de garantir aux personnes concernées que leurs données à caractère personnel sont protégées et leurs droits respectés.

Pour bien comprendre le concept de protection dès la conception.

C’est une démarche comparable à l’approche que nous avons aujourd’hui autour de l’environnement. Un projet quel qu’il soit se doit de prendre en compte l’impact environnemental, de la conception au recyclage. L’objectif est ainsi d’en mesurer les éventuels dommages collatéraux tout au long de sa vie, et de mettre en place des mesures adaptées afin d’en atténuer les désagréments sans priver le projet de son intérêt économique ou encore social.

De la même façon qu’une démarche environnementale peut prendre en compte, la consommation énergétique, d’eau, ou encore la production de CO², et bien d’autres points spécifiques au domaine dans lequel s’inscrit le projet, la démarche Privacy by Design repose sur plusieurs éléments.

Les 7 grands principes du Privacy by design :

  1. Être proactif et non réactif, préventif et non correctif

Il s’agit d’organiser le projet afin de responsabiliser les acteurs. Ceux-ci doivent anticiper tous les cas de figures pouvant porter atteinte au secret des données et à la vie privée.

Par exemple :

  • reconnaitre l’équipe en charge de la question « Respect de la vie privée »,
  • prévoir la création de procédures RGPD,
  • mener une Étude d’Impact sur la Vie Privée
  1. Appliquer la protection par défaut

Il s’agit de respecter le principe de minimisation, et d’encadrer l’usage qui pourrait être fait des données personnelles.

Par exemple, une entreprise souhaitant fidéliser ses clients et leur offrir un cadeau d’anniversaire, ne devrait pas collecter l’année de naissance. Et s’il s’agit de faire un cadeau personnalisé selon l’âge du client, une tranche d’âge peut suffire à cette personnalisation.

  1. S’organiser autour de la sécurité dès la conception

Les outils permettant la réalisation du projet, l’exploitation du produit, etc…, doivent être construits autour de la sécurité des systèmes et des procédures.

Par exemple, tout doit mettre en évidence le respect de la vie privée :

  • la documentation technique issue de la conception,
  • les procédures à destination des employés,
  • la veille sur les évolutions technologiques.
  1. Le projet doit concilier les intérêts

Nous parlons ici de « jeu à somme positive ». La sécurité technique ne doit pas impacter l’intérêt social de la technologie De même que l’appât économique ne doit pas inciter à négliger le respect de la vie privée.

Par exemple, une prospection commerciale vers des particuliers ne saurait être confiée à un sous-traitant hors de l’Union européenne (moins onéreux), sans s’assurer que ce prestataire respecte lui-même les règles issues du RGPD.

  1. La protection de la vie privée doit être assurée tout au long du cycle de vie de la donnée personnelle

L’organisation doit cartographier son système d’information, ainsi que le circuit des données, afin de préparer des procédures adaptées.

Par exemple :

  • les procédures doivent prévoir comment sont stockées les données,
  • quels supports sont exclus,
  • comment et quand elles sont détruites en fin de vie,
  • et chaque étape doit être traçable.
  1. Le concepteur comme l’usager doivent faire preuve de transparence

En exploitation, le responsable doit rendre l’information sur ses pratiques facilement accessible pour tous les usagers.

Par exemple, un site internet doit inclure, une explication claire et lisible sur ce qu’il fait de la vie privée de ses clients ou usagers.

  1. Respecter les droits à la vie privée des utilisateurs

En 1995, la traduction était limitée à « Respecter la vie privée ». Afin de lui donner du sens, parce que de toute évidence le concept en entier vise ce respect, nous ajoutons volontairement « les droits des utilisateurs ». (retrouvez vos différents droits en tant que citoyen européen sur le site de la CNIL)

Il s’agit en réalité du respect que chacun est en droit d’attendre quant à ses droits sur sa vie privée. L’organisation doit donc se préparer aux différents exercices des droits que les citoyens vont lui adresser.

Par exemple, un constructeur automobile proposant son propre système d’assistance intégré au véhicule et à l’ordinateur de bord, doit être en mesure de répondre sous un mois à une demande d’effacement, ou de portabilité des données vers une autre marque (géolocalisation des déplacements, accidents déjà survenus, profil du conducteur, peut-être même les stations de radio favorites…)

Pour conclure sur le Privacy by design,

il s’agit bien de mettre le respect de la vie privée à la base de tout projet, de service, de produit, de création d’entreprise, ou même d’association à but non lucratif.

Il y a fort à parier que le concept de Privacy by Design au 21ᵉ siècle a vocation à s’installer comme l’un des piliers de la Responsabilité Sociétale des Organisations (RSO).

Green by Design + Privacy by Design = Ethic by Design !