Le RGPD a proposé une nouvelle approche dans la protection des données personnelles en introduisant deux notions nouvelles qui sont particulièrement intéressantes : privacy by design" et le “privacy by default” ; en Français : la protection des données “dès la conception” et “par défaut”.
L’idée nous vient à l’origine de Mme Ann Cavoukian, commissaire à l’agence canadienne de la protection des données et traduit une idée simple : pour protéger les données personnelles, il est nécessaire de s’interroger sur ces problématiques dès la conception du système de traitement, et de mettre en place cette protection par défaut.
Voyons en détail ces deux notions et leur traduction dans le RGP qui ont été intégrées pour être proches des principes fondamentaux et des notions de minimisation des données par exemple. Typiquement cela fait partie des points que l’on doit relever lorsque l’on réalise un audit RGPD.
1. Qu’est-ce que le privacy by design - ou la protection des données dès la conception ?
Pour comprendre la notion de privacy by design, et les obligations crées au sein du RGPD, il faut comprendre la notion elle-même dans sa plus grande simplicité (1), puis son origine (2) et enfin sa traduction dans le RGPD et les obligations qui vont avec (3).
1.1 Le “privacy by design”
L’idée générale du “privacy by design” est au final assez simple : il est nécessaire, lorsque l’on collecte des données personnelles et que l’on met en place un système de traitement, de s’interroger sur la protection à mettre en oeuvre, au moment de la conception du système. En effet, une fois le système mis en oeuvre il sera souvent trop tard (ou trop coûteux) pour mettre en place des protections adaptées.
Dès lors, il est nécessaire que responsable de traitement s’interroge :
- quels sont les risques liés au traitement des données personnelles ?
- comment gérer ces risques et mettre en oeuvre les protections adéquates
Voici pour la version simple.
1.2 La proposition canadienne et les 7 principes essentiels
En réalité l’idée de privacy by design a, à l’origine un dimension beaucoup plus large, puisque 7 principes avaient initialement été posés par Mme Cavoukian :
- “Proactive not Reactive; Preventative not Remedial” - Proactif non réactif ; Préventif non curatif - l’idée qu’il est nécessaire d’intervenir avant un désastre et que l’on ne doit pas attendre une atteinte aux données personnelles pour réagir
- Privacy as the Default Setting - la vie privée comme paramètre par défaut - l’idée que par défaut la vie privée sont respectée, que l’utilisateur n’ait rien à faire
- Privacy Embedded into Design - la vie privée intégrée dès la conception du système de traitement - l’idée que la vie privée ne soit pas un module à part, mais soit intégrée au coeur des SI
- Full Functionality — Positive-Sum, not Zero-Sum - fonctionnalités complètes - somme positive pas somme zéro - la vie privée doit accommoder toutes les intérêts légitimes de l’organisation et être ajoutée comme élément supplémentaire (win/win) et non supprimer des fonctionnalités
- End-to-End Security — Full Lifecycle Protection - une sécurité de bout en bout et une protection complète du cycle de vie des données.
- Visibility and Transparency — Keep it Open - Visibilité et transparence des traitements effectués
- Respect for User Privacy — Keep it User-Centric - Respect de la vie privée des utilisateurs - un système centré sur l’utilisateur - implémenter les enjeux relatifs à la vie privée et les intégrer dans l’expérience utilisateur.
Ces principes (voir le détail ici) nous donnent une vision plus large de cette notion de privacy by design - qui est également imbriquée dans l’idée de privacy by default.
Mais qu’est-ce que le RGPD en a conservé et quelles sont les obligations actuelles que les responsables de traitement doivent respecter ?
1.3 Ce que le RGPD en a tiré et les obligations qui sont imposées aujourd’hui en droit
C’est là où les choses se compliquent…
En effet, lisons ensemble l’article 25.1 du RGPD :
Article 25 - Protection des données dès la conception et protection des données par défaut
- Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
On peut maintenant s’interroger : quelles sont les obligations qui sont vraiment créées par l’article 25.1 ?
Lorsque l’on est confronté à ce type de problème d’interprétation du texte, il est usuel de se référer aux considérants du RGPD, afin d’éclairer notre interprétation du texte. Malheureusement ici nous n’aurons pas plus de réponse à notre question :
considérant 78 La protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d’être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.
Ceux qui ont lu le RGPD comprendront clairement le problème, vous pouvez trouver plus de détails dans nos formations à la conformité RGPD qui sont maintenant intégrées dans notre logiciel DPO
2. Qu’est-ce que le privacy by default - ou la protection des données par défaut ?
Le privacy by default est l’idée qu’une fois que l’on a mis en place un système de protection, que celui-ci soit activé par défaut sans intervention de l’utilisateur (cf. vision proposée par l’agence canadienne de protection des données).
Le RGPD en donne encore une fois une vision problématique, si l’on s’interoge sur les obligations qui sont réellement créées et qui sont énoncées dans l’article 25.2 :
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.