Et nous pourrions ajouter une question : pourquoi cela va devenir une norme pour toute activité professionnelle ?

Il convient d’abord de traduire ces mots. Il faut comprendre ce concept par « protection de la vie privée dès la conception ». Encore une fois, en français ça fait plus de mots qu’en anglais… (Lire l’article : La promulgation du RGPD aurait-elle manqué de pédagogie ?)

Lorsque sur vos moteurs de recherches favoris vous saisirez ces termes, vous trouverez une multitude d’articles pour expliquer que c’est … très flou. La plupart se contentant de copier-coller des extraits de livres, ou reformuler des articles ayant déjà tenté l’exercice auquel nous nous essayons ici.

Ce concept est pourtant un pilier du Règlement Général sur la Protection des Données. Cela dit, par le législateur européen même, le concept semble peu explicite. En effet, seul le paragraphe 1 de l’article 25 du RGPD mentionne le Privacy By Design, en quelques lignes seulement, et nous précise pour l’essentiel que « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées… ».

Alors pour vous éviter de lire plusieurs articles qui ne feraient que paraphraser le maigre article 25, commençons par découvrir ce qu’a voulu nous dire le législateur européen. 

Ces termes ne sont pas nés sur le vieux continent. Ils nous viennent déjà du siècle dernier, et d’un rapport datant de 1995 rédigé conjointement par Ann CAVOUKIAN, alors Commissaire à l’Information et la Vie Privée de l’Ontario (Canada), de l’Autorité de protection des données néerlandaise et de l’Organisation néerlandaise pour la recherche scientifique appliquée.

Leur analyse nous explique que l’objectif de sécurisation et protection de la vie privée devait être considéré dès les premières réflexions sur un projet engendrant l’utilisation de données personnelles. Il en découle donc une nécessaire gestion de projet, afin de garantir aux personnes concernées que leurs données à caractère personnel sont protégées de bout en bout, c’est-à-dire à partir du moment ou la personne les communique jusqu’à ce que l’organisme les détruise.

C’est une démarche comparable à l’approche que nous avons aujourd’hui autour de l’environnement : par exemple, un projet quel qu’il soit se doit de prendre en compte l’impact environnemental d’un nouveau produit, de sa création à son recyclage, d’en mesurer les éventuels dommages collatéraux tout au long de sa vie, et de mettre en place des mesures adaptées afin d’en atténuer les désagréments sans priver le projet de son intérêt économique ou encore social.

De la même façon qu’une démarche environnementale peut prendre en compte, la consommation énergétique, d’eau, ou encore la production de CO², et bien d’autres points spécifiques au domaine dans lequel s’inscrit le projet, la démarche Privacy by Design repose sur sept grands principes :

1. Être proactif et non réactif, préventif et non correctif

Il s’agit d’organiser le projet afin de responsabiliser les acteurs, afin que ceux-ci anticipent tous les cas de figures pouvant porter atteinte au secret des données et à la vie privée des citoyens.

Par exemple, reconnaitre l’équipe en charge de la question « Respect de la vie privée », prévoir la création de procédures RGPD, mener des analyses de risque, voire une Etude d’Impact sur la Vie Privée…

2. Appliquer la protection par défaut

Il s‘agit de respecter le principe de minimisation, et d’encadrer à l’interne comme à l’externe l’usage qui pourrait être fait des données à caractère personnel.

Par exemple, une entreprise souhaitant fidéliser ses clients et leur offrir un cadeau d’anniversaire, ne devrait pas collecter l’année de naissance. Et s’il s’agit de faire un cadeau personnalisé selon l’âge du client, une tranche d’âge peut suffire à cette personnalisation.

3. S’organiser autour de la sécurité dès la conception

Ici, les outils permettant la réalisation du projet, l’exploitation du produit, etc.., doivent être construits autour de la sécurité des systèmes et des procédures.

Par exemple, la documentation technique issue de la conception doit mettre en évidence le respect de la vie privée, tout comme les procédures à destination des employés, et doit considérer les évolutions technologiques.

4. Le projet doit concilier les intérêts

Nous parlons ici de « jeu à somme positive » : la sécurité technique ne doit pas impacter l’intérêt social de la technologie, tout comme l’appât économique ne doit pas inciter à négliger le respect de la vie privée.

Par exemple, une prospection commerciale vers des particuliers ne saurait être confiée à un sous-traitant hors de l’Union Européenne (moins onéreux), sans s’assurer que ce prestataire respecte lui-même les règles issues du RGPD.

5. La protection de la vie privée doit être assurée tout au long du cycle de vie de la donnée personnelle

L’organisation doit cartographier son système d’information, ainsi que le circuit des données, afin de préparer des procédures adaptées.

Par exemple, les procédures doivent prévoir comment sont stockées les données, quels supports sont exclus, comment et quand elles sont détruites en fin de vie, et chaque étape doit être traçable.

6. Le concepteur comme l’usager doivent faire preuve de transparence

En exploitation, le responsable doit rendre l’information sur ses pratiques facilement accessible pour tous les usagers.

Par exemple, un site internet doit inclure, en plus des mentions légales historiques, une explication claire et lisible sur ce qu’il fait de la vie privée de ses clients ou usagers.

7. Respecter les droits à la vie privée des utilisateurs

En 1995, la traduction était limitée à « Respecter la vie privée ». Afin de lui donner du sens, parce que de toute évidence le concept en entier vise ce respect, nous ajoutons volontairement « les droits des utilisateurs ».

Il s’agit en réalité du respect que chacun est en droit d’attendre quant à ses droits sur sa vie privée . L’organisation doit donc se préparer aux différents exercices des droits que les citoyens vont lui adresser.

Par exemple, un constructeur automobile proposant son propre système d’assistance intégré au véhicule et à l’ordinateur de bord, doit être en mesure de répondre sous un mois à une demande d’effacement, ou de portabilité des données vers une autre marque (géolocalisation des déplacements, accidents déjà survenus, profil du conducteur, peut-être même les stations de radio favorites…)

En résumé, il s’agit bien de mettre le respect de la vie privée à la base de n’importe quel type de projet de service, de produit, de création d’entreprise, ou même d’association à but non lucratif, de la même façon que ces projets tiennent compte aujourd’hui du respect de l’environnement.

Il y a fort à parier que le concept de Privacy by Design au 21éme siècle a vocation à s’installer comme l’un des piliers de la Responsabilité Sociétale des Entreprises (RSE).