Vie privée par conception et par défaut Gdpr

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Vous avez peut-être déjà pris en compte le règlement général sur la protection des données (RGPD) de manière constructive et par défaut. Cela inclut, mais sans s’y limiter, la directive de l’Union européenne (UE) sur la protection de la vie privée dès la conception (PDR) et est considéré comme l’une de ses dispositions les plus importantes. [Sources : 13,17]

Fondamentalement, la protection des données dès la conception et par défaut signifie que les organisations doivent être proactives, et non réactives, lorsqu’il s’agit de la vie privée. Ce concept se compose de deux parties qui doivent être comprises séparément l’une de l’autre, de sorte qu’il est devenu connu sous le nom de « privacy by design. » [Sources : 19,15]

L’ICO, par exemple, a déjà publié des lignes directrices « design-by-design », encourageant les organisations à faire en sorte que la vie privée et le respect de la vie privée soient au centre des préoccupations. En introduisant des exigences spécifiques en matière de protection de la vie privée – by design – le GDPR a élargi le champ des mesures techniques et organisationnelles appropriées qui peuvent être mises en œuvre dans une organisation pour que la protection de la confidentialité des données ne soit plus une idée. Cela exige également que les principes de protection de la vie privée soient pris en compte lors de la conception et que la « protection de la vie privée par défaut » fasse partie des paramètres par défaut. Maintenant qu’elle est explicitement mentionnée dans le GDPR, les entreprises peuvent commencer à mettre en œuvre des processus et procédures internes pour répondre à ces exigences. [Sources : 10,11,11,16]

Une organisation qui ne met pas en œuvre la protection des données par la conception ou les contrôles de protection des données dans la pratique peut avoir une nette différence entre sa politique de protection des données et sa mise en œuvre de la protection des données – par la conception. Les entreprises doivent suivre le principe d’équilibre entre la protection des deux fonctions : le traitement des données doit pouvoir protéger de manière cohérente la vie privée et ne pas rendre les informations totalement inaccessibles. [Sources : 2,18]

Toutefois, l’adoption d’une approche de la vie privée par défaut ou par la conception de la vie privée peut signifier davantage que le simple respect des obligations. La conception de la vie privée exige des architectes et des opérateurs qu’ils gardent un œil sur la vie privée de l’utilisateur en lui offrant des options autonomes et conviviales pour protéger ses informations personnelles. Sources : 17,9]

Le respect de la vie privée dès la conception ou par défaut peut exiger beaucoup plus que ce qui précède, mais cela en vaut la peine. [Sources : 8]

Le règlement général sur la protection des données (RGPD) a fait de la protection de la vie privée une obligation légale en vertu de la législation de l’Union européenne sur la protection des données. Le Privacy by Design n’est pas nouveau dans le domaine de la protection des données, mais il est nouveau de le considérer comme une obligation égale. La Cour de justice des Communautés européennes (CJCE) et l’Assemblée générale des Nations unies (AGNU) sont les premières à légiférer sur ce point. Le respect des exigences en matière de protection des données – protection – by design, qui est essentiellement la version GDPR du privacy in design, va bien au-delà de la conformité juridique. [Sources : 13,0,1,3]

La protection des données selon les principes de protection des données – selon la conception et la norme sont écrits dans l’article 25 du GDPR de l’UE. L’article 25 transmet le principe de la confidentialité constructive, qui sous-tend l’ensemble du GDPR, ainsi que l’exigence de la protection des données – protection par la loi. [Sources : 7,14]

Bien que la protection des données ne soit pas nécessairement assimilée à la conception, ce principe de base sous-tend l’approche adoptée par toutes les organisations dans le cadre du RGPD et des autres lois européennes sur la protection des données. La protection des données par la conception est une approche que les organisations devraient adopter, mais ce n’est qu’une des nombreuses approches qui devraient être poursuivies conformément aux principes du règlement européen sur la protection des données (EUGDPR). Sources : 8,9]

Il est généralement admis que cette approche ne doit pas inclure le traitement des données. La protection des données dès la conception garantit le respect de la vie privée par défaut, ce qui signifie que les données personnelles sont automatiquement protégées dans un système informatique particulier. Cela signifie que les instruments et les politiques sont conçus pour protéger les données en premier lieu. [Sources : 6,13,6]

La protection standard des données est un principe central du GDPR, car il reconnaît l’importance de garantir la confidentialité dans la conception et la maintenance des systèmes d’information. Le principe « Privacy by Design » s’adresse à tout le monde, mais certaines entreprises de traitement des données ne sont pas couvertes par le GDPR. La protection des données doit être prise en compte par toutes les organisations, quelles que soient leurs politiques et pratiques en la matière. Le concept de protection de la vie privée – by design ou privacy by specifications – favorise le respect des lois et règlements en matière de protection des données, que les données personnelles soient incluses ou non dans une initiative. [Sources : 20,16,10,12]

L’article 25 du GDPR parle adéquatement de « protection des données dès la conception et par défaut » et stipule que la protection des données doit être intégrée dans la fonctionnalité d’un système. L’article 5, paragraphe 1, exige que le traitement des données, dans le cadre de la protection de la vie privée intégrée, soit limité à ce qui est nécessaire, puisque les données ont été collectées à l’origine dans ce but, et qu’il soit limité uniquement aux besoins de ceux qui doivent avoir accès aux données, et qu’il soit limité dans sa confidentialité – par défaut. Seule la quantité minimale de données requises (par exemple, des informations sur la localisation d’un utilisateur, son adresse électronique, son numéro de téléphone, etc. Sources : 4,14,5]

Par défaut, la protection de la vie privée oblige les organisations à protéger la vie privée des personnes concernées et à concevoir la vie privée de la personne concernée en appliquant les paramètres les plus privés – les plus conviviaux. Enfin, elle invite les organisations à faire preuve d’une plus grande transparence dans le traitement des informations personnelles et des données concernées et leur offre la possibilité d’assurer la protection de la vie privée des utilisateurs et la sécurité de leurs informations. [Sources : 10,9]

Sources :

[0] : https://chaucer.com/insights/blog/data-protection-by-design-and-default
[1] : https://www.avepoint.com/blog/protect/privacy-and-security-by-design-gdpr/
[2] : https://econsultancy.com/gdpr-requires-privacy-by-design-but-what-is-it-and-how-can-marketers-comply/
[3] : https://www.secretstache.com/blog/integrating-privacy-by-design/
[4] : https://admincontrol.com/gdpr-privacy-design/
[5] : https://spanning.com/blog/countdown-to-gdpr-privacy-by-design-and-by-default/
[6] : https://clearcode.cc/blog/privacy-by-design-default/
[7] : https://www.ics.ie/news/what-is-privacy-by-design-a-default
[8] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/
[9] : https://blog.privacyperfect.com/privacy_by_design/privacy_by_default
[10] : https://www.dentons.com/en/insights/alerts/2017/april/18/monthly-newsletter-gdpr-accountability-privacy-by-design-and-privacy-by-default
[11] : https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/getting-to-know-the-general-data-protection-regulation-part-6-designing-for-compliance
[12] : https://www.privacypolicies.com/blog/privacy-by-design/
[13] : https://techgdpr.com/blog/what-the-gdprs-privacy-by-design-really-means-for-your-business/
[14] : https://www.imperva.com/learn/data-security/gdpr-article-25/
[15] : https://blog.eperi.com/en/salesforce-gdpr-what-does-privacy-by-design-and-by-default-mean
[16] : https://sozodesign.co.uk/blog/gdpr/gdpr-2018-data-protection-by-design-and-by-default/
[17] : https://en.wikipedia.org/wiki/Privacy_by_design
[18] : https://dataconomy.com/2020/05/making-privacy-by-design-the-business-default/
[19] : https://blog.convisoappsec.com/en/privacy-by-design-and-data-security/
[20] : https://globaldatahub.taylorwessing.com/article/privacy-by-design-and-default