Découvrez nos solutions sans obligation d’achat
Avant que le « Privacy by Design » (PbD) ne devienne une obligation légale, il s’agissait d’un concept bien connu des experts en protection des données, datant des années 1990. Il se composait de deux parties, qui doivent être comprises séparément l’une de l’autre, avant d’être connu sous le nom de privacy by design. Vous l’avez peut-être déjà envisagé, mais vous devriez le revoir dans le contexte du Règlement général sur la protection des données (RGPD) de l’Union européenne. Sources : 4,17,5]
La protection des données telle qu’elle est requise est énoncée à l’article 25 du GDPR de l’UE. Il fournit les principes fondamentaux de la vie privée et de la protection des données qui sous-tendent l’ensemble du GDPR, ainsi que la base juridique de la protection des données personnelles. [Sources : 1,9]
En cas de doute, vous devez invoquer les principes fondateurs de Privacy by Design et vous demander si vous pouvez faire davantage pour protéger les données personnelles de vos utilisateurs. Ces principes fondamentaux sous-tendent notre approche, car la protection des données basée sur la conception n « est pas nécessairement synonyme de protection des données basée sur le design. [Sources : 10,0]
Le concept de protection des données dès la conception ne devrait pas être un problème pour la plupart des entreprises, car elles ont déjà des politiques de confidentialité solides et prennent en compte les violations de données lors de la construction de nouveaux systèmes. Qu’est-ce que la protection des données par conception ? Pourquoi le GDPR l’exige, comment vous pouvez la mettre en œuvre dans votre propre entreprise et pourquoi c’est une bonne idée pour votre entreprise de se conformer au GDPR. [Sources : 18,18,8]
Le Privacy by Design s’adresse à tout le monde, mais certains responsables du traitement des données ne sont pas couverts par le GDPR. Conforme au design, vous devez vous concentrer sur la protection de la confidentialité en limitant l’observabilité des données. Utilisez un modèle de politique de confidentialité pour vous assurer que vous fournissez à vos utilisateurs les informations nécessaires pour respecter les principes de privacy by design. Une organisation qui ne met pas en œuvre la protection des données à l’avance risque d’afficher ses politiques de protection des données dans la pratique, et non dans ses politiques de confidentialité. Soutenez vos organisations dans leurs efforts pour être Privacy by Design et soutenez-les dans leurs efforts pour être Privacy by Privacy. [Sources : 6,14,0,18]
Lorsque vous pensez au concept de Privacy by Design, vous devez vous rappeler qu’il inclut des mécanismes visant à garantir la confidentialité et la sécurité des données personnelles pendant le processus de développement. Le respect des exigences en matière de protection des données au moyen d’échantillons, qui sont essentiellement la version GDPR du Privacy by Design, va bien au-delà de la conformité juridique. En fin de compte, il s’agit d’une approche qui garantit que les questions de confidentialité ou de protection des données sont prises en compte dans le processus de conception, non seulement en ce qui concerne les données elles-mêmes, mais aussi en ce qui concerne la gestion des données. Si les concepts de conception de la protection des données – basés sur le principe de la vie privée – sont guidés par les principes des droits de l’homme, de la dignité humaine et du droit à la vie privée, le règlement préconise également de faire de la protection des données un élément central du modèle d’entreprise. [Sources : 4,3,5,10]
La protection des données dès la conception signifie que la protection des données et le respect de la réglementation en la matière doivent devenir partie intégrante des méthodes et pratiques de gestion des risques. La protection de la vie privée dès la conception signifie que la protection de la vie privée, la protection des données et la conformité à la réglementation en la matière doivent être devenues partie intégrante des méthodes et pratiques de gestion des risques. Sources : 12]
La confidentialité est essentiellement une norme, ce qui signifie qu’une organisation doit être proactive et non réactive en matière de confidentialité. Cela signifie que les outils et les politiques doivent être conçus pour protéger les données à l’avance et que les utilisateurs ne doivent pas prendre de mesures préventives pour protéger leurs données, car la confidentialité et la sécurité sont déjà mises en œuvre par défaut dans un système. En d’autres termes, la conception garantit la protection de la vie privée, car les paramètres par défaut signifient que les données personnelles sont automatiquement protégées sur un système informatique particulier. [Sources : 13,7,4,2]
Si un utilisateur ne prend pas de mesures pour protéger sa vie privée, ses données personnelles seront automatiquement protégées. Ainsi, si vous veillez à ce que vos données personnelles soient protégées dans un système informatique ou une pratique commerciale particulière, les données personnelles de la personne concernée seront protégées et le resteront, même s’il n’est pas nécessaire d’agir de la part de la personne concernée. [Sources : 19,16]
Bien que la protection des données de conception soit une meilleure pratique en vertu de la loi sur la protection des données de 1998, la protection des données de conception n’est pas une exigence légale au Royaume-Uni par défaut. Comme le GDPR s’applique à l’UE et à d’autres États membres de l’UE tels que les États-Unis, le Canada, l’Australie et la Nouvelle-Zélande, la protection de la vie privée n’est pas soumise aux mêmes exigences légales que dans d’autres pays par le biais de la protection des données de conception. [Sources : 11,15]
Le Privacy by Design signifie que toute mesure prise par une entreprise qui implique le traitement de données personnelles doit être prise en tenant compte de la protection des données et de la vie privée à chaque étape. Bien que la mise en œuvre du « privacy by design » soit désormais fondée sur la loi, elle peut encore se baser sur des idées que les entreprises avaient dans leurs procédures internes, comme dans le cas de la loi sur la protection des données de 1998, ainsi que sur les processus internes de l’entreprise. [Sources : 1,7]
Sources :
[0] : https://termly.io/resources/articles/privacy-by-design/
[1] : https://www.ics.ie/news/what-is-privacy-by-design-a-default
[2] : https://www.cookielawinfo.com/gdpr-privacy-by-design-and-default/
[3] : https://piwik.pro/blog/privacy-by-design-under-the-gdpr/
[4] : https://techgdpr.com/blog/what-the-gdprs-privacy-by-design-really-means-for-your-business/
[5] : https://blog.convisoappsec.com/en/privacy-by-design-and-data-security/
[6] : https://econsultancy.com/gdpr-requires-privacy-by-design-but-what-is-it-and-how-can-marketers-comply/
[7] : https://clearcode.cc/blog/privacy-by-design-default/
[8] : https://www.privacytrust.com/gdpr/privacy-by-design-gdpr.html
[9] : https://www.imperva.com/learn/data-security/gdpr-article-25/
[10] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/
[11] : https://www.itgovernance.co.uk/blog/what-is-data-protection-by-design-and-default
[12] : https://www.ogier.com/publications/gdpr-privacy-by-design
[13] : https://blog.eperi.com/en/salesforce-gdpr-what-does-privacy-by-design-and-by-default-mean
[14] : https://www.privado.ai/post/10-steps-to-implement-privacy-by-design
[15] : https://www.michalsons.com/blog/privacy-design-gdpr/24364
[16] : https://www.secretstache.com/blog/integrating-privacy-by-design/
[17] : https://www.hldataprotection.com/2019/11/articles/international-eu-privacy/spanish-dpa-publishes-guide-for-satisfying-pbd-obligation/
[18] : https://www.privacypolicies.com/blog/privacy-by-design/
[19] : https://advisera.com/eugdpracademy/blog/2018/04/17/what-is-privacy-by-design-and-default-according-to-gdpr/