Découvrez nos solutions sans obligation d’achat
Ce principe est inscrit dans le GDPR (General Data Protection Regulation) et lorsqu’il entrera en vigueur dans quelques mois, l’une des nombreuses nouvelles obligations de conformité s’appellera « Privacy by Design by Default. » L’Union européenne pour la protection des données et les libertés civiles (EUCLU) est la première à définir la » protection des données par la conception » comme une obligation légale, et elle est au cœur de tous les principes de la vie privée et de la protection des données. [Sources : 11,6,3]
Ce principe est bien connu puisqu’il est souvent désigné par l’expression « privacy through design », mais en pensant au concept de « privacy through design », il faut rappeler qu’il doit être compris en termes de mécanismes visant à garantir la confidentialité et la sécurité des données à caractère personnel au cours du processus de développement. S’inspirant des concepts de « privacy by design », le règlement préconise de faire de la protection des données une partie intégrante de tous les processus de gestion et de management des données par la conception. Sources : 4,15,17]
Les lignes directrices soulignent que la protection des données exige par défaut que les responsables du traitement veillent à ce que tous les paramètres par défaut pour le traitement des données personnelles soient rendus conformes à la protection des données. Les principes de protection des données sont mis en œuvre sous la forme d’une série de lignes directrices destinées aux responsables du traitement qui mettent en œuvre les lignes directrices en matière de protection des données pour la gestion et le traitement des données (DPDG). Sources : 2,16]
Le concept de « privacy by design » (ou « privacy by default ») encourage le respect des lois et règlements en matière de protection des données pour toutes les initiatives concernant les données personnelles. Le « privacy by design » garantit le respect de la vie privée par défaut, ce qui signifie que les données personnelles sont automatiquement protégées dans tout système informatique. Cela signifie que tous les instruments et politiques sont conçus pour protéger les données en premier lieu. Sources : 10,13,9]
La protection des données par conception n’est pas un catalogue d’exigences en soi, bien qu’il s’agisse d’une approche générale de la conformité au GDPR. La protection des données par conception stipule que toute mesure prise par une entreprise dans le cadre du traitement des données personnelles doit toujours garder à l’esprit la protection des données et la vie privée à chaque étape. Il exige que les organisations qui collectent des données créent une politique de confidentialité intégrée aux obligations de l’organisation en la matière. [Sources : 12,8,7]
Lorsqu’une organisation développe un nouveau système, service, produit ou processus utilisant des données à caractère personnel, elle doit procéder à une analyse d’impact sur la protection des données afin de réaliser la protection des données de manière constructive. Bien que la protection des données par la conception ne soit pas nécessairement la même chose que la protection des données par le design, ces principes de base sous-tendent l’approche. La protection de la vie privée dès la conception est en définitive une approche qui garantit que les questions de protection de la vie privée et des données sont prises en compte à chaque étape du processus, et pas seulement au début et à la fin de celui-ci. [Sources : 0,0,3]
L’introduction et l’exercice pratique de la protection de la vie privée peuvent également inclure l’intégration d’autres aspects du GDPR, notamment la réalisation d’une évaluation d’impact sur la protection des données, la désignation d’un délégué à la protection des données et l’enregistrement d’informations sur les activités de traitement des données. D’autres méthodes de protection des données par conception comprennent la formation, l’audit et la révision des politiques dans le cadre de la protection des données par conception. Sources : 4,4]
La conformité standard à la protection des données peut exiger beaucoup plus que ce qui précède, mais selon le GDPR, cela signifie que des mesures techniques et organisationnelles doivent être prises pour protéger les principes de la protection des données et de la vie privée dès le départ. La protection de la vie privée dès la conception est une partie importante de l’introduction d’une organisation – une approche globale de la protection des données. Toutefois, elle n’est que l’une d’entre elles et non le seul moyen d’intégrer les préoccupations en matière de protection des données dans les activités de traitement. [Sources : 0,15,0,1]
En fin de compte, la protection des données par conception est une approche qui garantit que la vie privée et la protection des données sont intégrées dans les activités de traitement et les pratiques commerciales. Sources : 12]
Les nouvelles technologies exigent que les données et l’ensemble de leur cycle de vie soient protégés conformément aux principes de sécurité et de confidentialité. Si la protection de la vie privée et la protection des données sont presque synonymes dans le domaine de la conception de la protection des données, le traitement des données ne peut pas se concentrer exclusivement sur la conception des données, qui nécessite un juste équilibre entre la vie privée, la sécurité, la protection des données et la transparence du traitement des données. La protection des données par la conception signifie que la protection des données est intégrée dans les conceptions et les architectures des systèmes informatiques. Sources : 10, 13, 14]
En fait, cela semble avoir peu contribué à entraver la protection des données et à garantir la vie privée en soi. Pour répondre à ces préoccupations, les experts en protection de la vie privée qui travaillent sur les mécanismes de protection des données préconisent une stratégie de protection de la vie privée qui tienne compte des exigences en la matière dès la conception. Si cette solution est efficace lorsqu’il s’agit de documenter la conformité au GDPR, elle n’est pas conseillée lorsque la conception concerne la protection des données par défaut. [Sources : 12,5,18]
On suppose généralement que cette approche ne doit pas inclure le traitement des données. Si c’est le cas, alors les exigences en matière de protection des données ne doivent pas être satisfaites par défaut. Pour comprendre la théorie qui sous-tend la protection des données par défaut, il faut d’abord examiner comment faut-il faire en sorte que la protection des données profite non seulement à l’utilisateur, mais aussi à l’entreprise dans son ensemble. Cela contredit l’idée que, dans ce cas, il est possible de répondre aux exigences de la protection des données par défaut via la conception et vice versa. [Sources : 13,0,15]
Sources :
[0] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/
[1] : https://medium.com/golden-data/what-does-data-protection-by-design-and-by-default-mean-under-eu-data-protection-law-fc40f585c0c5
[3] : https://www.itgovernance.eu/blog/en/the-gdpr-why-you-need-to-adopt-the-principles-of-privacy-by-design
[4] : https://www.mhc.ie/latest/blog/edps-opinion-data-protection-by-design-and-default
[5] : https://academic.oup.com/idpl/article/8/2/105/4960902
[6] : https://www.avepoint.com/blog/protect/privacy-and-security-by-design-gdpr/
[7] : https://www.ics.ie/news/what-is-privacy-by-design-a-default
[8] : https://www.mondaq.com/india/data-protection/930550/india39s-push-for-data-protection-by-design
[9] : https://globaldatahub.taylorwessing.com/article/privacy-by-design-and-default
[10] : https://leastauthority.com/blog/privacy-and-security-by-design-is-a-crucial-step-for-privacy-protection/
[11] : https://www.turnkeyconsulting.com/keyview/understanding-privacy-by-design-to-comply-with-the-gdpr
[12] : https://www.itgovernance.co.uk/blog/what-is-data-protection-by-design-and-default
[13] : https://clearcode.cc/blog/privacy-by-design-default/
[15] : https://piwik.pro/blog/privacy-by-design-under-the-gdpr/
[16] : https://www.pearlcohen.com/gdpr-updates-guidance-on-special-categories-of-data-the-gdprs-territorial-scope-and-privacy-by-design-as-well-as-regulatory-penalty-for-violation-of-rules-for-consent/
[17] : https://blog.convisoappsec.com/en/privacy-by-design-and-data-security/