Protection de la vie privée dès la conception et par défaut European Data Protection Board

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

Le Conseil européen de la protection des données (CEPD) a récemment publié de nouvelles lignes directrices pour aider les entreprises à respecter leurs obligations d’adopter une approche de la vie privée dans le traitement des données personnelles qui soit à la fois constructive et standard. L’approche By Default (DPbDD) et les lignes directrices pour fixer les obligations en matière de protection de la vie privée en ce qui concerne l’utilisation des données personnelles dans le traitement des données et a publié des lignes directrices pour la mise en œuvre de ces lignes directrices dans un certain nombre de domaines. [Sources : 16,5]

Les lignes directrices de l’EDPB fournissent des exemples pour aider les responsables à mettre en pratique la protection des données de manière constructive et par défaut en éliminant certains principes. Les lignes directrices énoncent les principes de l’application de la protection des données par la conception et la norme et fournissent des conseils sur l’article 25 du GDPR, qui devrait être utilisé par les organisations traitant des données personnelles. [Sources : 9,3,15]

En définitive, la protection constructive des données est une approche qui garantit que les questions relatives à la vie privée et à la protection des données sont examinées dans un contexte plus large, compte tenu de l’importance de la sécurité des données, de la vie privée et de la nécessité de protéger les données. Bien que la protection des données – par la conception – ne soit pas nécessairement la même chose que la conception protégée des données, ces principes de base sous-tendent l’approche et sont étayés par les lignes directrices. Sources : 6,7,7]

La protection des données exige la mise en place de mesures techniques et organisationnelles appropriées pour mettre en œuvre les principes de protection des données et protéger les droits individuels. Comme indiqué au considérant 108, ces garanties doivent inclure le respect de la protection des données – constructive et standard. L’essentiel est de prendre en compte les questions de protection des données dès le début du traitement et d’adopter des politiques et des mesures appropriées qui répondent aux exigences de protection des données – par échantillon et par défaut. Sources : 11,11,7]

Le respect de la protection des données dès la conception et par défaut peut exiger bien plus que ce qui précède. L’essentiel est de prendre en compte les questions de protection des données dès le début de l’activité de traitement et d’adopter des politiques et des mesures appropriées qui répondent aux exigences de protection des données – par l’exemple et par défaut. L’essentiel doit être de prendre en compte les questions de protection des données dès le début de l’activité de traitement et d’adopter des politiques appropriées qui répondent aux exigences en matière de protection des données – par des modèles et des lignes directrices. Sources : 7,7]

Cela signifie qu’un mécanisme de certification reconnu, une fois disponible, peut montrer comment la protection des données est mise en œuvre de manière constructive et par défaut. Si tel est le cas, il est alors nécessaire de répondre aux exigences de la protection des données au moyen d’échantillons et de spécifications. Cela signifie qu’une fois que le mécanisme de certification approuvé sera disponible, il aidera l’organisation à montrer comment elle se conforme à la directive européenne sur la protection des données (EDPB) et à la Convention européenne des droits de l’homme. Sources : 11,7,7]

La protection des données dès la conception exige que les architectes et les opérateurs gardent à l’esprit la nécessité d’offrir aux utilisateurs des options responsabilisantes et conviviales, telles que l’utilisation standard de la protection des données et la protection des données personnelles par l’EDPB. Sources : 17]

Les lignes directrices soulignent que la protection des données exige par défaut que les responsables du traitement veillent à ce que les paramètres par défaut du traitement des données à caractère personnel soient conçus conformément à la protection des données. L’introduction de mécanismes visant à garantir la protection des données par conception et par défaut est cruciale pour assurer la protection adéquate des données à caractère personnel lorsqu’elles sont traitées par le service ou la solution. Cela implique que la protection des données par la conception est en définitive une approche qui garantit que les responsables du traitement prennent en compte la confidentialité et la sécurité de tous les systèmes, services, produits, apps et processus qui sont conçus. Les responsables du traitement doivent être en mesure de concevoir des règles de protection des données comme paramètre par défaut pour le traitement des données personnelles et de démontrer l’efficacité de la mise en œuvre de ces mesures. [Sources : 3,13,18,15]

Nous avons élaboré des lignes directrices pratiques et réalisables qui peuvent être appliquées dans n’importe quelle organisation et qui sont encadrées par l’évaluation des risques et les mesures disponibles. Les lignes directrices traitent de l’importance de la protection des données par la conception et la norme eDPB pour la protection des données personnelles. Sources : 11,12]

Dans l’article 25, qui reflète ce principe, le Conseil européen de la protection des données (EDPB) distingue le concept de « Privacy by Design » du « DPbDD ». Le PET fait la distinction entre le respect de la vie privée par la conception et la protection de la vie privée des consommateurs, en notant que « le PET est un outil important pour les utilisateurs qui comprennent déjà les risques de la vie privée en ligne. » [Sources : 2,17]

Les personnes concernées peuvent bénéficier d’une protection constructive des données si sa conception est mise en œuvre simultanément avec la protection de leurs données personnelles. La vie privée des utilisateurs individuels « et leurs droits à la protection des données devraient être soigneusement pris en compte », écrit le CEPD, en précisant que les applications de suivi des contacts ne nécessitent pas la capacité de suivre les allées et venues d’un utilisateur individuel. Les personnes concernées peuvent également en bénéficier si elles mettent en œuvre la protection des données par conception en même temps, mais seulement si leur sujet de données est mis en œuvre par le Conseil de protection des données en même temps. [Sources : 0,10,14]

Afin de protéger les données personnelles et de répondre à la fois aux exigences de la protection de la vie privée dès la conception et à celles de la norme, la vie privée de l’utilisateur individuel doit être prise en compte dans la conception de la personne concernée. Il est possible de dissocier la pseudonymisation de la protection de la vie privée et de l’exactitude en activant la protection des données par conception et par défaut tout en conservant des données plus exactes sur les personnes. En outre, la pseudonymisation peut être activée par défaut et dissocier la vie privée de l’exactitude, ce qui permet de protéger la vie privée et ses droits en matière de protection des données. La pseudonymisation peut également être découplée de la vie privée et de l’exactitude par conception et par défaut, alors que la pseudonymisation permet la protection des données par conception et par défaut. Dans ce cas, « la pseudonymisation pourrait être découplée de la protection de la vie privée par l’exactitude, tout en permettant, au moins en partie, la protection de la vie privée des individus et de la vie privée par défaut, « tout en conservant les données sur les individus encore plus exactes. [Sources : 4,1,1,8]

Sources:

[0] : https://techcrunch.com/2020/04/22/eu-privacy-body-urges-anonymization-of-location-data-for-covid-19-tracking/
[1] : https://www.anonos.com/edpb-memorandum
[2] : https://privacylawbarrister.com/2020/01/28/the-gdpr-data-protection-by-design-and-default/
[3] : https://inplp.com/latest-news/article/draft-guidelines-on-data-protection-by-design-and-by-default-issued-by-the-edpb/
[4] : https://www.wsgrdataadvisor.com/2021/02/edpb-clarifies-key-health-research-data-protection-rules/
[5] : https://www.penningtonslaw.com/news-publications/latest-news/2020/data-protection-by-design-and-by-default-new-guidelines
[6] : https://www.twobirds.com/en/news/articles/2019/global/edpb-publishes-guidelines-on-data-protection-by-design-and-by-default
[7] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/
[8] : https://www.dentons.com/en/insights/articles/2020/april/14/the-edpb-gives-its-view-on-connected-car-technology-but-will-it-reach-the-chequered-flag
[10] : https://www.kaspersky.com/about/policy-blog/index/guidelines-on-data-protection-by-design-and-by-default
[11] : https://medium.com/golden-data/what-does-data-protection-by-design-and-by-default-mean-under-eu-data-protection-law-fc40f585c0c5
[12] : https://www.jdsupra.com/legalnews/eu-edpb-plenary-session-update-9850165/
[13] : https://www.dataguidance.com/opinion/eu-edpbs-draft-guidelines-privacy-design-and-default
[14] : https://michaelkans.blog/2020/11/02/edpb-data-protection-by-design-and-default-guidance/
[15] : https://aphaia.co.uk/en/2019/11/29/edpb-guidelines-on-data-protection-by-design-and-by-default/
[16] : https://www.irelandip.com/2020/12/articles/data-protection/edpb-publishes-new-guidelines-on-data-protection-by-design-and-by-default/
[17] : https://en.wikipedia.org/wiki/Privacy_by_design
18] : https://www.pearlcohen.com/gdpr-updates-guidance-on-special-categories-of-data-the-gdprs-territorial-scope-and-privacy-by-design-as-well-as-regulatory-penalty-for-violation-of-rules-for-consent/

​​​​​​​