La notion de Privacy by design ou protection de la vie privée dès la conception a été développée dès les années 90 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada). Elle a pour corollaire la notion de Privacy by default ou protection de la vie privée par défaut.
Ces principes exigent de prendre en compte la protection de la vie privée des personnes concernées :
Ces deux notions ont été intégrées au Règlement général sur la protection des données entré en vigueur le 25 mai 2018.
Bien que ces notions demeurent assez floues, leur violation peut faire l’objet de sanctions (jusqu’à 2% du chiffre d’affaires ou 10 millions d’euros). Pourtant, force est de constater que peu de lignes leur sont consacrées au sein du texte européen.
En effet, ces principes font l’objet du considérant 78 et de l’article 25. Ils sont étroitement liés aux mesures de sécurité mises en place par le responsable de traitement, à la transparence du traitement et à la documentation de la conformité au RGPD (accountability).
Afin de préciser les contours de la protection de la vie privée dès la conception et par défaut, il convient d’envisager d’une part les acteurs de cette protection avant d’aborder les outils permettant de la mettre en œuvre.
Naturellement, les acteurs peuvent varier en fonction de l’organisation et du secteur d’activité du responsable de traitement.
Il apparaît toutefois évident que le délégué à la protection des données (Data Protection officer - DPO), s’il a été nommé, sera la clé de voûte du dispositif de protection de la vie privée par défaut et dès la conception.
Le délégué à la protection des données ne peut toutefois porter seul l’approche Privacy by design. Une communication régulière entre les différents services de l’entreprise sur les projets en cours et à venir est essentielle.
Compte tenu du caractère transverse de cette démarche, il sera le plus souvent nécessaire d’associer la direction des services informatiques et le service juridique au développement des projets.
Les services communication et marketing, souvent amenés à développer des projets impliquant des traitements de données innovants, seront naturellement associés au processus.
Organiser le dialogue et la collaboration entre ces différents acteurs n’est pas une mince affaire. C’est pourquoi il est essentiel de développer et de s’appuyer sur des outils organisationnels permettant d’encadrer cette coopération.
Certains outils de prise en compte de la vie privée dès la conception et par défaut sont suggérés par le RGPD. Il s’agit notamment du registre des traitements et de l’analyse d’impact.
Si le registre des traitements n’est certes pas l’outil fondamental d’une approche Privacy by design, il a cependant plusieurs bénéfices à ce titre :
L’étude d’impact (ou analyse d’impact) sur la vie privée cristallise la stratégie Privacy by design et Privacy by default. A travers la revue des mesures juridiques, techniques et organisationnelles, elle rassemble l’évaluation de chacun des points de conformité au RGPD et permet donc de valider ou non le degré de protection de la vie privée apporté. Cette analyse n’est toutefois pas requise pour tous les traitements de données, elle l’est uniquement pour ceux qui présentent un risque élevé pour les personnes concernées.
Afin de démontrer la prise en compte de la protection de la vie privée dès la conception et par défaut pour les traitements mis en œuvre, y compris ceux qui ne présenteraient pas un risque élevé pour les personnes concernées, il est alors nécessaire de mettre en place une politique interne Privacy by design.
Cette politique permet d’organiser le dialogue entre les différents services et de mettre en place un processus d’élaboration d’un nouveau traitement de données personnel permettant d’associer les différents acteurs concernés.
Pour les traitements ne nécessitant pas la réalisation d’une analyse d’impact, la politique Privacy by design peut utilement organiser un diagnostic juridique et technique du traitement afin de déceler les principales pistes d’amélioration en matière de protection des données.
En cas de contrôle elle permettra également de démontrer le respect de l’article 25 du RGPD.
Au-delà d’une conformité juridique, l’approche Privacy by design et by default permet de transformer la protection de la vie privée en vecteur de confiance et de différenciation concurrentielle, essentielle dans de nombreux secteurs d’activité, en particulier dans l’univers numérique.
Pour tout renseignement complémentaire, n’hésitez pas à nous contacter ici.