Le principe de Privacy by design (protection des données) du RGPD
Dernière mise à jour le 06/07/2021
Le principe de “privacy by design” est un principe instauré par le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Il permet une protection optimale des données personnelles dès la conception et lors de chaque usage d’une nouvelle technologie.
Ainsi, grâce au principe de « privacy by design », la protection des données personnelles n’est plus une option pour les entreprises mais une obligation inhérente à chacune de ses activités.
Qu’est-ce que le principe de “privacy by design” ?
Le RGPD a instauré de nombreuses nouveautés dans le traitement des données personnelles, telles que le droit à la portabilité des données ou le principe de privacy by design. Celui-ci s’inscrit dans une volonté de protection des données personnelles. Cependant, il est important de ne pas le confondre avec le principe de “privacy by default”.
La définition
L’article 25 du Règlement Général sur la Protection des Données (RGPD) est intitulé « Protection des données dès la conception et protection des données par défaut ». Il prévoit ainsi le principe de « privacy by design ».
Le principe de protection des données dès la conception signifie que l’entreprise doit désormais intégrer la protection des données à caractère personnel, dès la conception de projets rattachés au traitement des données d’une entreprise. Cela permet alors de minimiser les risques d’un non-respect du traitement des données au RGPD.
L’entreprise doit alors prendre des mesures techniques et organisationnelles appropriées au traitement des données. Celles-ci doivent s’apprécier au regard de la finalité recherchée par l’entreprise dans le traitement.
L’application de ce principe permet donc de mettre en œuvre des mesures préventives permettant de limiter les risques d’amendes RGPD. Celles-ci permettent ainsi :
- d’empêcher la collecte de données personnelles sans raison légitime.
- la suppression de données d’une base de données s’il n’y a pas ou plus de raisons de la stocker
La différence entre privacy by design et privacy by default
L’article 25, dans son deuxième alinéa, instaure également le principe de privacy by default. Ces deux principes s’inscrivent dans la protection des données personnelles. Toutefois, il est utile de pouvoir les différencier :
- Privacy By design : le traitement des données personnelles doit être effectué en respectant la protection et la vie privée des personnes à chaque étape (exemple : dans les systèmes IT). Les départements IT d’une entreprise devront donc faire en sorte que la protection des données personnelles soit inhérente aux systèmes IT durant le cycle entier du système.
- Privacy By default : une fois qu’un produit ou un service a été communiqué au public, les standards de protection des données personnelles devront être appliqués par défaut, sans manipulations extérieures. Ainsi, seules les données susceptibles d’être réellement utilisées par l’entreprise seront collectées et stockées.
Comment mettre en œuvre le principe de “privacy by design” ?
Le principe de “privacy by design” repose sur plusieurs fondements principaux, tels que la protection de la vie privée et la transparence des entreprises. Plusieurs mesures peuvent ainsi être mises en place afin de respecter ce principe posé par le RGPD.
Les fondements du principe de privacy by design
Le principe de « privacy by design » pousse l’entreprise à adapter ses méthodes et ses techniques, dès leurs conceptions, à la protection des données prévues par le RGPD. En effet, l’entreprise doit appliquer le RGPD dès le début d’un projet ou dès la création d’une nouvelle technique. Cela permet ainsi d’avoir des techniques permettant de limiter la collecte des données à caractère personnel.
Ainsi, le privacy by design repose principalement sur sept fondements :
- Mesures préventives et non correctives permettant de prévenir les violations de la protection des données personnelles
- Protection par défaut de la vie privée (c’est-à-dire une protection implicite et automatique)
- Protection de la vie privée dès la conception des systèmes et des pratiques entrepreneuriales
- Sécurité et protection de la vie privée tout au long de projet, également pendant la période de conservation des données personnelles
- Visibilité et transparence des pratiques de l’entreprise
- Respect de la vie privée des utilisateurs
- Protection optimale et intégrante
La mise en œuvre du principe
Le principe de « Privacy by design » doit être pris en compte à chaque étape du processus de traitement des données et à chaque niveau de l’entreprise. Ainsi, chaque personne concernée par le traitement des données personnelles doit respecter ce principe.
Pour cela, le responsable de traitement doit mettre en œuvre les mesures et techniques appropriées pour garantir le respect du RGPD par défaut. Cette mission est généralement confiée au délégué à la protection des données (DPO RGPD) de l’entreprise. Celui-ci peut alors par exemple procéder à :
- La pseudonymisation des données : le remplacement de certaines données à caractère personnel par un pseudonyme. Cela permet de ne plus pouvoir identifier la personne concernée. La vie privée de la personne est protégée tout en permettant à l’entreprise d’utiliser les données aux finalités souhaitées. Les données sont ainsi « séparées » de l’identité de la personne.
- La minimisation de la collecte des données : seules les données nécessaires à la finalité recherchée par l’entreprise seront collectées. C’est la politique du « strict minimum ».
Par ailleurs, les mesures utilisées par l’entreprise doivent être proportionnelles aux risques et aux violations que le traitement des données personnelles peut causer à la personne dont les données ont été collectées.
Quel est l’impact du principe de “privacy by design” ?
Le RGPD a instauré de nombreux principes à respecter pour les entreprises. Ceux-ci ont ainsi eu un impact important pour les professionnels qui ont dû s’y adapter. Ils ont également eu des conséquences pour les particuliers.
L’impact pour les professionnels
Le principe de privacy by design émane directement du principe d’accountability posé par le RGPD au sein de son article 5. En effet, les responsables de traitement ont l’obligation de :
- s’interroger sur la conformité de leurs traitements des données avec le RGPD
- être en mesure de prouver cette conformité
Ils sont donc tenus responsables du respect des règles imposées par le RGPD. C’est pourquoi, ils doivent mettre en œuvre et actualiser les mesures garantissant le respect du traitement des données personnelles.
Par ailleurs, le principe de privacy by design permet d’allier un environnement de confiance et une optimisation de l’économie numérique. En effet, les entreprises sont transparentes quant au traitement des données personnelles de leurs clients.
L’impact pour les particuliers
Comme de nombreuses dispositions mises en place par le RGPD, le principe de privacy by design offre une protection aux clients et utilisateurs. En effet, l’obligation faite aux entreprises d’appliquer des mesures protectrices des données personnelles bénéficie aux particuliers.
Ainsi, celui-ci n’a plus besoin de prendre part à la protection de ses données. En effet, aucune action n’est requise pour mettre en place une protection totale des données personnelles. A titre d’exemple, le client ne doit plus décocher de case dans un formulaire pour ne pas recevoir d’e-mails d’une entreprise (comme une Newsletter hebdomadaire par exemple). Ainsi, l’entreprise ne peut plus par défaut exploiter ces données comme elle le veut.
Toutefois, le client peut être amené à donner son consentement dans le cadre du RGPD.
FAQ
Qu’est-ce que le principe de privacy by design ?
Le privacy by design est un principe instauré par le RGPD, entré en vigueur en 2018. Il requiert la mise en place des mesures de protection des données personnelles dès la conception de nouveaux projets ou technologies. Ainsi, les entreprises doivent anticiper l’application des règles du RGPD lors de la création de nouveaux produits ou services.
Comment mettre en place le principe de privacy by design ?
Afin de mettre en place le privacy by design, la protection des données personnelles doit être prise en compte à chaque étape du processus de création de nouveaux projets. Ainsi, cela peut se traduire par la pseudonymisation ou la minimisation de la collecte des données personnelles.
Quand faut-il appliquer le principe de privacy by design ?
Le principe de privacy by design s’applique lors de la conception d’un produit ou d’un service. En effet, cela demande de l’anticipation de la part des entreprises. Toutefois, l’application de mesures protégeant les données personnelles ne s’arrête pas à la conception car elles doivent être mises en œuvre de manière dynamique.
Dernière mise à jour le 06/07/2021