Privacy By Design et Gdpr

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

Certains d’entre vous ont peut-être déjà pris en compte le règlement général sur la protection des données (RGPD) et ses dispositions. Il s’agit notamment des lois sur la protection de la vie privée telles que la loi sur la protection de la vie privée et la loi sur le droit d’auteur du millénaire numérique (DMCA). [Sources : 11,19]

Privacy by Design évite cela en montrant que les deux sont possibles – et bien plus souhaitables. Les deux parties, qui doivent être comprises séparément l’une de l’autre, forment un concept, à tel point que ce concept est devenu connu sous le nom de « privacy through design ». » [Sources : 17,8]

La protection des données par la conception signifie que la vie privée est intégrée dans la conception et l’architecture d’un système informatique, et cela signifie que la vie privée est intégrée à la fois dans l’architecture de conception et dans les systèmes informatiques. Bien que la protection des données par la conception et la conception ne soient pas exactement les mêmes, il existe un certain nombre de principes et de pratiques bien établis de protection de la vie privée par la conception qui s’appliquent à la fois à la protection des données et à la conception. Sources : 21,19,11]

La protection des données dès la conception (Privacy by Design) vise à garantir que la protection des données d’une personne est toujours assurée par défaut. La protection des données dès la conception garantit la protection de la vie privée par défaut, ce qui signifie que les données personnelles sont automatiquement protégées dans tout système informatique. Les personnes devraient être obligées de prendre des mesures pour protéger leur vie privée et les personnes devraient être tenues de prendre des mesures lorsqu’il s’agit de protéger la vie privée. Les systèmes informatiques n’obligent pas les utilisateurs à prendre des mesures préventives pour protéger leurs données, car la protection et la sécurité des données sont déjà mises en œuvre dans le système par défaut et les systèmes sont construits par ceux qui protègent la vie privée de tous. [Sources : 11,3,10,20]

Par défaut, la protection des données signifie que les outils et les politiques sont conçus en fonction des données qui doivent être protégées en premier lieu. [Sources : 1]

Cela suppose que les principes de la protection de la vie privée par la conception et de la protection de la vie privée – par la norme – soient également pris en compte. Une organisation qui ne met pas en œuvre la protection de la vie privée par la conception ou la pratique peut préciser ses politiques de protection de la vie privée dans ses politiques de confidentialité. [Sources : 7,6]

Le concept de protection de la vie privée dès la conception n’est pas un problème pour la plupart des entreprises, car elles disposent déjà de solides politiques de protection de la vie privée et prennent en compte les violations de données lors de la création de nouveaux systèmes. Sources : 5]

Mais les changements difficiles et plus significatifs nécessaires pour mettre en œuvre la vie privée de manière constructive sont encore loin d’être réalisés. Une façon pour les concepteurs de protéger les utilisateurs contre les atteintes à la vie privée est d’introduire le système de protection de la vie privée « Privacy by Design » – une première étape, selon les experts en sécurité. Le plus grand obstacle est l’absence de normes de protection des données pour les organisations qui ont intégré la protection des données dans leur conception par défaut. Bien que le GDPR attire l’attention sur les données et leur protection, il est encore peu probable que la plupart des organisations disposent d’architectures de données intégrant la protection des données dans leur conception. [Sources : 2,15,15,9]

Selon son article de blog sur le sujet, le Dr Ann Cavoukian a proposé le cadre Privacy by Design pour éviter que des incidents invasifs ne se produisent en premier lieu. Sources : 9]

Les lois et les législateurs européens en matière de protection des données les ont rapidement adoptées, et l’article 25 transmet l’ensemble du GDPR qui les sous-tend et l’importance de la protection de la vie privée par la conception à l’avenir. [Sources : 8,0]

En pensantau concept de confidentialité constructive, il faut garder à l’esprit qu’il inclut des mécanismes qui garantissent la confidentialité et la sécurité des données personnelles pendant le processus de développement. Inspiré des concepts de protection des données – selon la conception – le règlement s’engage à faire de la protection et de la sécurité des données un élément central du processus de conception pour toutes les entreprises. Sources : 22,17]

La protection des données dès la conception signifie que la protection des données, la protection des données et la conformité doivent faire partie intégrante des méthodes et pratiques de gestion des risques. Le respect de la vie privée après la conception signifie essentiellement que les organisations doivent être proactives et non réactives en matière de respect de la vie privée. Sources : 14,4]

Privacy – by – design n’attend pas l’apparition de risques pour la vie privée, il vise à prévenir les violations de la vie privée et à y remédier dès qu’elles se sont produites. Privacy – after – design n’attend pas qu’un risque d’atteinte à la vie privée se produise, mais vise à le prévenir et à le résoudre après qu’il se soit produit. Les politiques de Privacy-by-design visent à prévenir et à résoudre les violations de la vie privée avant qu’elles ne se produisent. Sources : 19,13]

Le Privacy by Design stipule que toute mesure prise par une entreprise dans le cadre du traitement des données personnelles doit toujours garder à l’esprit la protection des données et la vie privée à chaque étape. Bien que la mise en œuvre du respect de la vie privée – dès la conception – soit désormais fondée sur des lois, elle peut encore résulter d’idées d’entreprises sur la protection des données et de procédures internes telles que le GDPR. [Sources : 12,1]

Les exigences en matière de protection des données par la conception sont essentiellement la version du GDPR sur la vie privée – par la conception. La protection des données – conception et la protection des données par la conception sont deux des aspects les plus importants de la protection des données telle qu’appliquée par le GDPR, et leur conformité va bien au-delà de la conformité juridique. [Sources : 18,11]

Le concept de protection de la vie privée – par conception ou par défaut – favorise le respect des lois et règlements en matière de protection des données pour toutes les initiatives qui impliquent des données personnelles. Par exemple, les organisations qui considèrent la protection des données comme une partie intégrante de leur stratégie et de leurs opérations commerciales. [Sources : 16,7]

Sources :

[0] : https://www.imperva.com/learn/data-security/gdpr-article-25/
[1] : https://clearcode.cc/blog/privacy-by-design-default/
[2] : https://insights.crosscountry-consulting.com/gdpr-not-just-privacy-by-design-but-privacy-by-default
[3] : https://www.cookielawinfo.com/gdpr-privacy-by-design-and-default/
[4] : https://blog.eperi.com/en/salesforce-gdpr-what-does-privacy-by-design-and-by-default-mean
[5] : https://www.privacytrust.com/gdpr/privacy-by-design-gdpr.html
[6] : https://econsultancy.com/gdpr-requires-privacy-by-design-but-what-is-it-and-how-can-marketers-comply/
[7] : https://www.dentons.com/en/insights/alerts/2017/april/18/monthly-newsletter-gdpr-accountability-privacy-by-design-and-privacy-by-default
[8] : https://www.morganlewis.com/pubs/2019/03/the-edata-guide-to-gdpr-what-is-privacy-by-design-and-by-default
[9] : https://www.secretstache.com/blog/integrating-privacy-by-design/
[10] : https://www.zeronorth.io/blog/why-privacy-by-design-matters-in-the-sdlc/
[11] : https://techgdpr.com/blog/what-the-gdprs-privacy-by-design-really-means-for-your-business/
[12] : https://www.ics.ie/news/what-is-privacy-by-design-a-default
[13] : https://www.smashingmagazine.com/2017/07/privacy-by-design-framework/
[14] : https://www.ogier.com/publications/gdpr-privacy-by-design
[15] : https://www.darkreading.com/attacks-breaches/gdpr-drives-changes-but-privacy-by-design-proves-elusive/d/d-id/1334729
[16] : https://globaldatahub.taylorwessing.com/article/privacy-by-design-and-default
[17] : https://blog.convisoappsec.com/en/privacy-by-design-and-data-security/
[18] : https://www.michalsons.com/blog/privacy-design-gdpr/24364
[19] : https://en.wikipedia.org/wiki/Privacy_by_design
[20] : https://blog.velsoft.com/2018/06/19/privacy-by-design-7-important-principles/
[21] : https://medium.com/golden-data/what-does-data-protection-by-design-and-by-default-mean-under-eu-data-protection-law-fc40f585c0c5
[22] : https://piwik.pro/blog/privacy-by-design-under-the-gdpr/