Qu’est-ce que le « Privacy by design » ?

Retour aux articles du blog

Avec l’émergence de l’économie numérique et plus particulièrement des GAFAM (acronyme désignant Google, Amazon, Facebook, Apple et Microsoft), l’importance de la préservation de nos données à caractère personnel et leur sécurisation sont devenus des sujets incontournables.

 

Afin d’apporter une régulation et protéger les données à caractère personnel des citoyens européens, un règlement européen (Règlement UE 2016/679) dit RGPD (Règlement général sur la protection des données) est entré en vigueur le 25 mai 2018.

 

Le principe de « Privacy By Design » se retrouve au cœur de ce Règlement Général pour la Protection des Données (RGPD). L’article 25 de ce cadre législatif qui a pour but de protéger la vie privée des citoyens européens, intitulé « Protection des données dès la conception et protection des données par défaut » prévoit ce principe dit de « Privacy by Design ».

 

Le principe vise à imposer à l’entreprise l’intégration de la protection des données à caractère personnel « dès la conception », c’est-à-dire dès la mise en œuvre de projets, processus systèmes d’informationnel, solutions ou applications impliquant un traitement de données au sein d’une structure. Il s’agit d’une obligation légale dont le manquement est réprimé en France par le Code pénal qui punit de 5 ans d’emprisonnement et de 300.000€ d’amende le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 25 du RGPD (art.226-17 du Code pénal).

 

Il appartient donc à l’entreprise d’intégrer de manière proactive et en amont le sujet de la protection des données à caractère personnel et la protection de la vie privée tant au niveau technique qu’organisationnel. Ce sujet doit donc être traité dès la conception et intégré dans le fonctionnement des systèmes informatiques, de l’infrastructure en réseau et des pratiques commerciales pour limiter les risques de non-conformité au RGPD et les sanctions en découlant.

 

Ce principe tend à responsabiliser davantage les entreprises sur le traitement des données à caractères personnel et limiter la fuite massive de telles données et leur violation, outre d’assurer une certaine visibilité et transparence dans les pratiques de l’entreprise.

 

Les mesures mises en œuvre doivent ainsi empêcher la collecte de données personnelles sans raison légitime et impliquer la suppression de données personnelles dans une base de données, s’il n’y a pas lieu de les garder par la suite.

 

Les entreprises utilisant les données considérées doivent, de ce fait, se limiter aux seules données agrégées et non aux données dans leur ensemble (dites « brutes ») lors de leur communication à un tiers pour rester en conformité avec les textes en vigueur.

 

Parmi les techniques destinées à assurer la mise en œuvre du principe de « Privacy by Design », le responsable de traitement se devra de garantir aux utilisateurs une pseudonymisation ainsi qu’une minimisation de la collecte des données c’est à dire que seules les données strictement nécessaires (techniques et organisationnelles) pour la finalité recherchée par l’entreprise seront récoltées et qu’un effacement des données sera effectué progressivement par les entreprises tout en conservant un certain anonymat.

 

Le principe de « Privacy by design » présente dès lors un double intérêt :

 

  • d’une part, une sécurité plus accrue pour les utilisateurs, dont les données sont traitées, qui sont de plus en plus vigilants à l’égard de leur traitement et peuvent maintenant s’opposer au traitement des données les concernant ;

 

  • d’autre part, un avantage concurrentiel à l’égard des entreprises ne s’étant toujours pas conformées à cet article 25 du RGPD.

 

Deux exemples pour illustrer ce principe :

 

  • Tout d’abord l’affaire de la poupée Toy’s Story (NDA –Cnil, déc. n° MED-2017-073, 20 nov. 2017). Dans cette affaire, le fabricant avait été poursuivi pour atteinte grave à la vie privée en raison d’un défaut de sécurité.

 

L’article 25 du RGPD, pour se mettre en conformité avec la législation européenne, a été transposée dans la loi Informatique et libertés du 20 mai 2018. Elle dispose que les objets connectés notamment se conforment à ces dispositions. Pour le cas de la poupée, son fabricant se doit de la sécuriser au moment de sa fabrication pour qu’elles puissent accéder à des données tout en protéger les personnes dont les informations ont été collectées au risque de porter atteinte à la vie privée comme c’était le cas en l’espèce.

  • Plus récemment, la Commission nationale de l’informatique et des libertés (CNIL) a condamné un opérateur de téléphone mobile pour avois mis en place des comportements en violation de l’article 25 du RGPD.

 

En l’espèce, deux abonnés téléphoniques, titulaires d’un abonnement “multilignes”, avaient fait une réclamation auprès de l’autorité administrative indépendante car ils continuaient de recevoir des factures nominatives avec leur ancienne ligne téléphonique alors que leur contrat avait été résilié et qu’ils s’étaient opposés à la conservation de leurs données.

 

Cette pratique a permis de mettre en évidence que la data protection n’était pas appliquée en l’espèce et le principe de « Privacy by design » non respecté. Manifestement l’opérateur n’avait pas mis en œuvre les différentes mesures techniques et organisationnelles qui s’imposaient à lui au titre du règlement de protection des données (RGPD) notamment celles relatives à la conservation des données de ses utilisateurs. Plus encore, cette pratique portait également atteinte au principe de portabilité des données pour l’utilisateur qui de fait était encore dans les fichiers d’un opérateur malgré son opposition. La durée de conservation de l’opérateur étant enfin allée bien au-delà du maximum légal ce qui a conduit l’Autorité de protection des données à la sanctionner.

 

Il faut donc retenir que chaque entreprise a une base de données personnelles, dont elle est responsable, et qu’elle se doit de tenir compte de ces données dans un registre de traitements dans le respect de la loi. Ces data traitées dès la conception du projet / de l’application de l’entreprise en conformité avec l’article 25 du RGPD permettra ensuite une meilleure communication de ces données à l’utilisateur s’il souhaite connaître ce qui a été collecté sur lui et qui relève de sa vie privée.

 

De manière plus générale, pour l’entreprise garantir le respect de la vie privée et la sécurité par la protection intégrée des données à caractère personnel – à chaque phase du cycle de vie des données (par exemple, la collecte, l’utilisation, la conservation, le stockage, l’élimination ou la destruction) est désormais devenue essentielle pour éviter toute responsabilité juridique, maintenir la conformité rgpd, protéger la marque de l’entreprise et préserver la confiance de ses clients.

 

Reste aux entreprises, qui ne l’ont pas encore fait, de se familiariser avec le concept de privacy by design et de se mettre en conformité avec l’article 25 du RGPD !

 

A cet égard, l’on rappellera que le RGPD prévoit la désignation obligatoire d’un délégué à la protection des données (DPO) pour un certain nombre d’organismes (art.37 du RGPD) à savoir pour :

 

  • les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;

 

  • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;

 

  • les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

 

Le DPO a pour mission de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme l’ayant désigné s’agissant de l’ensemble des traitements mis en œuvre par ce dernier. C’est un acteur clé du système de gouvernance des données personnelles au sein de l’entreprise.

 

Même lorsqu’elle n’est pas obligatoire, la désignation d’un DPO demeure recommandée aux entreprises traitant les données personnelles notamment en ce que le DPO peut s’avérer utile, en sa qualité d’expert juridique et technique en matière de protection des données, pour la mise en place de la conformité de l’entreprise notamment au principe de privacy by design et, plus largement, au règlement sur la protection des données.

 

 

Par Cynthia Picart et Marc Maloisel

 


06/05/22

s’inscrire à la newsletter