Pourquoi devrions-nous nous soucier de Privacy By Design ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Demain, c’est la Journée de la déclaration de confidentialité, et il faut profiter de l’occasion pour dresser le portrait du responsable de la protection de la vie privée de Microsoft et pour examiner de plus près les implications des services géodépendants sur la vie privée. Le Privacy by Design (PBD) est un ensemble de politiques de protection de la vie privée conçues dans le cadre de processus commerciaux pour protéger les informations qu’une organisation collecte et traite par défaut. Lorsque les principes de privacy by design sont suivis, ils garantissent qu’une organisation est créée pour exploiter tout le potentiel des données qu’elle collecte, traite et stocke. Si les entreprises adoptent la directive sur la protection des données dès la conception, ils auront de bien meilleures chances de réussir à l’avenir, non seulement en termes de protection des données, mais aussi dans d’autres domaines d’activité. [Sources : 2,5,4,9]

Mais le Privacy by Design va beaucoup plus loin et touche non seulement la protection des données, mais aussi la protection des données personnelles et de la vie privée des individus. La présomption de respect de la vie privée s’applique lorsque la nécessité de l’utilisation des données personnelles n’est pas évidente, lorsque le principe de précaution est appliqué et lorsque les individus doivent être encouragés à prendre des mesures pour protéger leur vie privée. Les mesures de protection des données, telles que le respect de la vie privée, doivent être intégrées au système et non ajoutées ultérieurement, mais doivent être incorporées dès le départ dans la conception d’un système. Les paramètres par défaut sont ceux qui offrent le plus de protection de la vie privée », indique la directive. [Sources : 13,8,6,5]

Le principe du respect de la vie privée dès la conception exige des architectes et des opérateurs qu’ils fassent passer les intérêts de l’individu en premier lors de la conception de leurs systèmes et qu’ils utilisent des options conviviales qui les rendent possibles. Le principe du respect de la vie privée dès la conception exige que la protection de la vie privée – c’est-à-dire la protection des données à caractère personnel, comme l’utilisation de mesures de protection de la vie privée – soit considérée comme une priorité absolue, en proposant des options plus conviviales aux utilisateurs et en leur donnant « accès aux données ». Sources : 4,5]

Un sous-produit de la philosophie de la protection de la vie privée basée sur la conception est qu’elle permet aux fournisseurs d’identifier plus facilement les problèmes de protection de la vie privée lorsqu’ils sont protégés. Cela signifie que les données personnelles sont cryptées en transit et en paix, que seule la quantité minimale nécessaire aux besoins opérationnels est collectée et que la protection des données est créée par des structures constructives. En outre, les organisations doivent protéger les données par défaut et veiller à ce que seules les informations nécessaires à la finalité spécifique du traitement soient utilisées. Le type d’informations personnelles protégées varie d’une organisation à l’autre, mais tous les types d’informations doivent être protégés de la même manière que les autres informations personnelles, comme les mots de passe et les numéros de carte de crédit. [Sources : 10,7,5,1]

Le Privacy by Design s’adresse à tout le monde, mais c’est aussi une bonne idée pour les entreprises de se conformer au GDPR, indépendamment de ce qui se passe dans la partie procédurale. Il y a un certain nombre de contrôleurs qui sont couverts par le GDPR, et si vous utilisez la vie privée consciemment, plus vous êtes susceptible de l’utiliser. La protection des données par la conception et la conformité au GDPR ne fonctionnent pas sans commencer par un système. [Sources : 1,13,13,13]

Pour savoir si votre entreprise respecte votre vie privée, vérifiez si elle restreint le partage des données, si elle minimise l’utilisation des données, si elle vous donne la possibilité de refuser le partage d’informations sensibles et si elle vérifie qu’elle le restreint, ou si elle s’adresse directement à ses clients pour s’informer activement sur leur vie privée. L’EFVP est une exigence fondamentale du GDPR, par conséquent, vous prenez des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre une utilisation, un accès et une divulgation non autorisés. Identifiez et considérez les problèmes de protection des données dès le début des activités de traitement de vos employés. Cela déterminera ce qui se passe si vous avez une politique de confidentialité et une politique d « utilisation des données et combien d « entre vous sont prêts à recevoir une compensation équitable pour l « utilisation de ces données. [Sources : 12,0,11,5]

L’EFVP vous aide à contrôler la vie privée là où elle compte le plus, comme les informations personnelles de vos employés, les informations de vos clients et les données des autres employés. Sources : 14]

Bien que rien ne puisse empêcher les violations de données, des pratiques strictes telles que la confidentialité constructive peuvent réduire la charge associée à la protection des données. Si les exigences en matière de confidentialité contribuent à maintenir la sécurité de votre système, les individus doivent assumer la responsabilité de sécuriser leurs propres données. La protection des données par la conception favorise le respect de la vie privée et la sécurité des données, et cela signifie que les ingénieurs en technologie pensent déjà à la protection des données personnelles au stade de la conception. Sources : 10,12,12,1]

Plutôt que de concevoir la protection de la vie privée comme une liste de cases à cocher, parce que la loi l’exige, les organisations peuvent utiliser les PBD pour réfléchir de manière créative à la façon dont les données des utilisateurs peuvent être mal utilisées, consultées, volées, partagées ou combinées. Sources : 5]

L’approche du Privacy by Design se caractérise par des mesures actives et non réactives qui anticipent les tentatives d’atteinte à la vie privée avant qu’elles ne se produisent. Une fois qu’une atteinte à la vie privée s’est produite, elle sera corrigée et prévenue. Le Privacy by design prévient les événements portant atteinte à la vie privée qui n’attendent pas que les risques d’atteinte à la vie privée se produisent. S’ils se produisent, ils peuvent être prévenus avant que le risque de protection des données ne se produise, plutôt que d’avoir à attendre qu’il se produise. Sources : 5,4,3]

Sources: 

  • [0] : https://www.cyberghostvpn.com/privacyhub/privacy-by-design-principles-why-data-protection-should-always-come-first/
  • 1] : https://www.ringcentral.com/us/en/blog/privacy-by-design-what-is-it-and-how-can-it-make-your-communications-more-secure/
  • 2] : https://blogs.microsoft.com/on-the-issues/2011/01/27/do-not-track-meets-privacy-by-design-announcing-a-new-two-step-process-for-getting-to-privacy-as-the-default/
  • [3] : https://www.smashingmagazine.com/2017/07/privacy-by-design-framework/
  • [4] : https://www.linkedin.com/pulse/privacy-design-why-so-important-umar-f-uddin
  • [5] : https://reciprocitylabs.com/privacy-by-design-why-we-should-care/
  • [6] : https://www.zeronorth.io/blog/why-privacy-by-design-matters-in-the-sdlc/
  • [8] : https://www.cmdsonline.com/blog/the-looking-glass/gdpr-us-websites/
  • [9] : https://securityintelligence.com/5-ways-privacy-by-design-can-rebuild-consumer-trust/
  • [10] : https://valid.com/gdpr-compliance/
  • [11] : https://hbr.org/2020/01/do-you-care-about-privacy-as-much-as-your-customers-do
  • [12] : https://www.dqindia.com/privacy-design-securing-ecosystems-outset/
  • [13] : https://www.privacypolicies.com/blog/privacy-by-design/
  • [14] : https://www.uber.com/newsroom/celebrating-data-privacy-day/