Découvrez nos solutions sans obligation d’achat
Ann Cavoukian, qui travaille pour le bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario, a développé le concept de « Privacy by Design », qui exige que la protection des données soit prise en compte tout au long du processus d’ingénierie. La protection des données par la conception ou le principe de « protection de la vie privée par défaut » est une composante importante du développement de logiciels en général et du génie logiciel en particulier. [Sources : 6,1]
Le concept sous-jacent est exprimé dans le concept de protection de la vie privée par la conception élaboré par le délégué à l’information et à la protection des données de l’Ontario. Comment cela fonctionne-t-il et comment le concept de protection de la vie privée par la conception s’intègre-t-il aux autres principes de protection de la vie privée ? Sources : 14,15]
En cas de doute, vous devez invoquer les principes fondateurs de Privacy by Design et vous demander si vous pouvez faire davantage pour protéger les données personnelles de vos utilisateurs. Bien que la protection des données basée sur la conception ne soit pas nécessairement synonyme de protection des données basée sur le design, ces principes de base sous-tendent une approche. [Sources : 15,0]
De nombreuses stratégies de Privacy by Design se concentrent sur le développement de produits selon une méthode traditionnelle en cascade. Cette phase de planification nécessite la participation de toutes les parties impliquées dans le développement du logiciel, et pas seulement le développeur. Les équipes chargées de la protection de la vie privée doivent également inclure l’équipe informatique, l’équipe de gestion du produit et l’équipe de sécurité. L’environnement informatique qui suit le processus de développement agile d’aujourd’hui et les changements dans les environnements informatiques qui peuvent avoir un impact sur la capacité de l’entreprise à protéger les données. [Sources : 20,7,10]
La liste de contrôle comprend d’importantes questions pratiques concernant les paramètres de confidentialité, qui doivent être pris en compte et intégrés dans le processus de développement et de conception si nécessaire. En réfléchissant au concept de protection de la vie privée par la construction, il faut garder à l’esprit qu’il est compris comme un mécanisme visant à garantir la confidentialité et la sécurité des données personnelles pendant le processus de développement. De solides mesures de sécurité sont essentielles à la protection des données du début à la fin, mais la conception de la protection des données s’étend – après – à l’ensemble du cycle de vie des données concernées, du premier élément d’information collecté aux systèmes intégrés pour le collecter. Des mécanismes tels que les technologies et les animaux de compagnie améliorant la protection de la vie privée sont définis pour atténuer les menaces identifiées, y compris les définitions et les mesures organisationnelles visant à promouvoir l’intégration de principes de développement respectueux de la vie privée tout au long du cycle de vie du développement logiciel. [Sources : 2,18,19,5]
Privacy by Design n’attend pas qu’un risque pour la vie privée se présente, il vise à prévenir et à résoudre les violations de la vie privée dès qu’elles se produisent. Elle n’attend pas l’apparition d’un risque lié à la protection des données, mais le remplace dès qu’il se produit et vise à le prévenir. La protection des données en tant que telle n’attend pas qu’un risque pour la protection des données survienne : elle vise à prévenir et à remédier à une violation de la vie privée après qu’elle s’est produite. Sources : 5,3]
Privacy by Design signifie que chaque action d’une entreprise en rapport avec le traitement des données personnelles doit toujours garder à l’esprit la protection des données et la vie privée à chaque étape. La protection des données, la sécurité et la transparence doivent devenir les valeurs fondamentales d’un développeur de logiciels, qui sont intégrées dans chaque décision qu’il prend. [Sources : 16,12]
La protection de la vie privée dès la conception signifie que les entreprises doivent tenir compte de la protection des données pour chaque nouveau produit, processus ou service qui implique le traitement de données à caractère personnel. La protection constructive des données est en définitive une approche qui garantit que les questions de protection de la vie privée et des données sont prises en compte à chaque étape du processus de développement, de la phase de conception initiale à la version finale d’un produit. Sources : 11,15]
Bien qu’il est impossible de contrôler la vie privée présente dans un microservice particulier ou dans un autre composant ou outil utilisé par SDLC, les risques liés à la vie privée doivent être évalués, gérés, appréciés et classés par ordre de priorité avant même d’entrer dans le processus de développement. La stratégie de protection de la vie privée concrétise les décisions prises au début du processus de développement pour prendre en compte la protection de la vie privée lors du développement de nouveaux services et produits. [Sources : 1,11]
Privacy by Design signifie que la protection des données est prise en compte dès le départ et intégrée dans le fonctionnement du système. Il s’agit simplement d’intégrer les principes de protection de la vie privée dans la conception d’un nouveau service, d’un produit ou d’un autre composant ou outil, tel qu’un microservice. [Sources : 9,4]
En termes de sécurité, cela signifie la mise en œuvre d’un cycle de vie sécurisé pour le développement de logiciels qui sont construits dès le départ en tenant compte de la sécurité et de la protection des données – et non pas en étant vissés comme un supplément. Les professionnels de la protection des données n’ont pas besoin d’apprendre le codage ou le développement de logiciels pour jouer un rôle de premier plan dans le développement des meilleurs produits et services. Lorsque l’on définit la sécurité par la conception, il est important de reconnaître que le développement de logiciels est un travail effectué par des humains. [Sources : 7,13,8]
Sources :
[0] : https://termly.io/resources/articles/privacy-by-design/
[1] : https://www.zeronorth.io/blog/why-privacy-by-design-matters-in-the-sdlc/
[2] : https://globaldatahub.taylorwessing.com/article/data-protection-by-design-and-default-checklist
[3] : https://www.smashingmagazine.com/2017/07/privacy-by-design-framework/
[4] : https://techgenix.com/privacy-by-design-principles/
[5] : https://en.wikipedia.org/wiki/Privacy_by_design
[6] : https://databunker.org/use-case/privacy-by-design-default/
[7] : https://www.evalian.co.uk/security-privacy-by-design-in-software-development/
[8] : https://www.onedpo.com/privacy-engineering/
[9] : https://www.privacypolicies.com/blog/privacy-by-design/
[10] : https://www.usenix.org/conference/enigma2020/presentation/bozdag
[11] : https://medium.com/sphere-identity/gdpr-and-privacy-by-design-what-developers-need-to-know-fa5a936da65a
[12] : https://www.devprojournal.com/technology-trends/data-privacy/cpra-pushes-privacy-by-design-shift-for-software-developers/
[13] : https://www.softwareimprovementgroup.com/resources/security-by-design-in-9-steps/
[14] : https://www.complianceforge.com/cybersecurity-for-privacy-by-design-c4p
[15] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/
[16] : https://www.ics.ie/news/what-is-privacy-by-design-a-default
[17] : https://dev.to/rijks-ict-gilde/privacy-by-design-pragmatic-privacy-for-programmers-part-3-13oa
[18] : https://www.capgemini.com/2020/06/addressing-the-challenge-of-privacy-engineering/
[19] : https://blog.convisoappsec.com/en/privacy-by-design-and-data-security/
[20] : https://insights.crosscountry-consulting.com/gdpr-not-just-privacy-by-design-but-privacy-by-default