Qu’est-ce le Privacy By Design ?

Le principe de Privacy By Design se retrouve au cœur du Règlement Général pour la Protection des Données (RGPD). L’article 25 de ce cadre législatif qui a pour but de protéger la vie privée des citoyens européens, intitulé « Protection des données dès la conception et protection des données par défaut » prévoit ce principe dit de Privacy by Design.

Protéger les données dès la conception d’un projet IT

Ce principe de Privacy by Design implique de protéger les données personnelles dès la conception. Cela signifie que les entreprises ont désormais l’obligation d’intégrer ce principe de protection des données à caractère personnel dès la mise en œuvre de projets impliquant un traitement de données au sein d’une structure. Le fait d’intégrer le concept de protection des données à caractère personnel dès la conception de projets qui s’y rattachent permet de limiter les risques d’un éventuel non-respect des exigences du RGPD à ce sujet. Ainsi, au regard de la finalité recherchée par une structure dans le traitement de données personnelles, l’entreprise doit en amont prendre les mesures nécessaires, que ce soit au niveau technique comme organisationnel, de manière à traiter ces informations personnelles de manière appropriée.

Appliquer ce principe de Privacy by Design permet donc de mettre en place des mesures préventives limitant, dès la conception d’un projet, les risques éventuels de violation des données personnelles. Ces mesures mises en œuvre doivent empêcher la collecte de données personnelles sans raison légitime et impliquer la suppression de données personnelles dans une base de données, s’il n’y a pas lieu de les garder par la suite.

Le Privacy by Design, au regard du RGPD

RGPD et Big Data

Le principe du Privacy by Design est avant tout une réponse aux problèmes engendrés par le Big Data. En effet, un véritable enjeu économique s’est développé autour des données personnelles et de leurs problématiques, dû à l’importance croissante d’internet dans le fonctionnement du marché mondial. Le Big Data représente une réelle forme de richesse pour les entreprises, qu’elles doivent cependant manier avec le plus grand soin puisque le Big Data doit également répondre aux attentes des utilisateurs concernés, qui veulent avant tout savoir leurs données personnelles en sécurité sur internet.

Mettre en place ce principe de Privacy by Design permet de répondre aux problématiques principales du Big Data comme la fuite massive de données personnelles notamment à cause de la collecte automatisée de ces dernières.

Ce que change le principe du Privacy by Design

L’entrée en vigueur du RGPD a poussé les entreprises à se responsabiliser vis-à-vis du traitement des données personnelles. Ces dernières ont dû en effet passer d’un régime basé sur l’autorisation de traitement des informations à caractère personnel à une véritable logique de responsabilisation.

Auparavant, les structures maniant des données personnelles devaient effectuer des formalités auprès de la CNIL après avoir déterminé les mesures de protection à adopter dans le cadre du traitement de ces données. Désormais, elles sont tenues d’adopter dès la conception de projets impliquant des traitements de données personnelles des mesures prises par un responsable de traitement nommé dans l’entreprise. Si l’entreprise est contrôlée par la CNIL, alors celle-ci devrait être en mesure de démontrer les actions entreprises à cet effet.

Ce principe de Privacy by Design implique donc plus de transparence pour l’entreprise, qui crée ainsi un lien de confiance entre le client et sa structure, et d’autant plus avec les employés de cette même structure, lesquels sont soumis à un devoir de confidentialité vis-à-vis de ces données personnelles et de respect des exigences du RGPD. Le principe de Privacy by Design permet donc l’instauration d’un climat de confiance dans l’économie numérique, en permettant l’optimisation.

Mettre en œuvre le principe de Privacy by Design dès la conception du traitement de données

Désormais, dès le début d’un projet impliquant le traitement de données personnelles, les entreprises doivent adopter des méthodes et des techniques, dès la conception, afin de protéger convenablement les données personnelles comme l’exige le RGPD. Cela permet notamment de limiter la collecte de données personnelles qui ne seront pas exploitées par le projet en question et donc d’en limiter les potentielles fuites, permettant ainsi à une structure de ne pas s’exposer aux sanctions de la CNIL.

À noter que le principe de Privacy by Design n’est pas une mesure de protection des données personnelles en tant que telle. C’est avant tout un principe rappelant aux entreprises la nécessité de prévoir, dès la conception d’un projet impliquant le traitement de données à caractère personnel, les mesures de protection élémentaires.

Les différences entre Privacy by Design et Privacy by Default

Selon le principe du Privacy by Design, chaque action d’une entreprise impliquant le traitement de données personnelles doit désormais être effectuée en tenant compte de la protection et du respect de la vie privée des utilisateurs, et ce à chaque étape de la collecte et du traitement de leurs données personnelles. Durant le cycle entier du système collectant et traitant ces données, la protection de ces dernières devra donc être assurée de manière optimale. Le Privacy by Design implique donc une prise en compte de la protection de la vie privée des utilisateurs avant même la conception d’un système impliquant le traitement de données personnelles.

Le Privacy by Default est un principe s’appliquant une fois qu’un produit ou service a été rendu public. Les standards en matière de protection des données personnelles s’appliquent alors par défaut, et ce sans l’exercice de manipulations extérieures permettant cette protection. Le Privacy by Default est la garantie d’un niveau maximal de protection des données à caractère personnel.

Le Privacy by Design en sept principes

Le concept de Privacy by Design peut être défini en sept principes élémentaires :

• L’adoption de mesures préventives – et non correctives – permettant d’empêcher ou de limiter les potentielles violations de protection des données personnelles.
• Mettre en œuvre un principe de protection des données personnelles par défaut, c’est-à-dire une protection automatique et implicite de ces données.
• Prendre en compte la protection de la vie privée des internautes concernés dès la conception des systèmes de collecte de données personnelles, et adopter les bonnes pratiques entrepreneuriales à cet effet.
• La sécurité et la protection de la vie privée des utilisateurs dont les données personnelles ont été collectées doivent être assurées tout au long du projet, mais aussi durant la période de conservation des données personnelles.
• L’entreprise doit se montrer transparente dans ses pratiques vis-à-vis des informations à caractères personnelles.
• Le respect de la vie privée des utilisateurs concernés par cette collecte doit être assuré.
• La protection des données personnelles doit être holistique et optimale.