Privacy by Design / Privacy by Default : des concepts qui doivent faire leurs preuves

15 avril 2019
15 avril 2019 Cédric Dubucq

La consécration d’une notion séduisante

Le concept du « Privacy by Design » ou « protection de la vie privée dès la conception » a été développé il y a une vingtaine d’années à l’initiative de la préposée à la protection des données de l’Etat d’Ontario au Canada, Ann Cavoukian. Ses travaux ont abouti à la consécration de sept principes fondamentaux, qui représentent une solution permettant aux technologies d’évoluer sans porter atteinte à la vie privée des individus :

  • Prendre des mesures proactives, préventives et non réactives,
  • Assurer la protection implicite de la vie privée
  • Intégrer protection de la vie privée dans la conception des systèmes et des pratiques
  • La mise en place d’une fonctionnalité intégrale à somme positive
  • Assurer la sécurité maximale des données
  • Assurer un fonctionnement des systèmes assurant visibilité et transparence
  • Et enfin garantir le respect de la vie privée des utilisateurs.

L’idée principale est donc la nécessité pour l’entreprise de prendre en compte la protection des données personnelles dès la conception du produit ou service, car les instruments législatifs ne sont pas suffisants pour encadrer correctement la protection de la vie privée. Plutôt que de créer un produit et de penser seulement ensuite à protéger la vie privée par des normes, on anticipe.

La consécration du Privacy by Design est intervenue au niveau international avec la 32e Conférence internationale des commissaires à la protection des données et de la vie privée, qui a eu lieu en 2010 à Jérusalem. Il a été reconnu comme « un élément essentiel de la protection fondamentale de la vie privée »

Ainsi, loin d’être une réelle nouveauté, les concepts du Privacy by Design, ainsi du Privacy by Default ont été repris et précisés dans le Règlement général sur la protection des données du 4 mai 2016, le RGPD, qui sera applicable le 25 mai 2018. Cette consécration nous montre la volonté des instances européennes de promouvoir la protection des données personnelles, en réponse aux évolutions technologiques.

C’est l’article 25 de ce fameux règlement qui éclaire sur ce qu’est le privacy by design : « […] le responsable de traitement met en oeuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles, telles que la pseudonymisation, qui sont destinées à mettre en oeuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée ».

La définition donnée du Privacy by Design mérite quelques éclaircissements. Tout d’abord, la pseudonymisation peut être défini comme un processus par lequel les données perdent leur caractère nominatif, grâce aux fameux « pseudos » qu’on a tous sur les applications comme Instagram, Snapchat mais aussi les sites de commerce en ligne comme Ebay, Le Bon Coin… Ce procédé se différencie de l’anonymisation en ce qu’il n’a pas pour résultat de supprimer toutes les informations identifiantes et de rendre pratiquement impossible la réidentification de la personne concernée.

La minimisation des données consiste à ne collecter que des données adéquates, pertinentes et strictement limitées à ce qui est nécessaire pour réaliser les finalités pour lesquelles elles ont été collectées, cela renvoi au concept de Privacy Par Défaut, ou protection des données par défaut, qui consiste à limiter la quantité de données à caractère personnel collectée, ainsi que l’étendue du traitement, la durée de conservation des données et le nombre de personnes pouvant accéder aux données.

L’idée phare du Privacy by Design est ainsi assurer la balance des intérêts entre protection de l’individu et promotion de l’innovation, ces mesures doivent se penser dans le respect du principe de proportionnalité. Les mesures devront donc être en adéquation avec le risque encouru. Une cartographie des risques devra donc, en amont, être réalisée, mais son utilité persistera tout au long de la vie de l’objet. Les objets connectés sont particulièrement concernés.

Des concepts à préciser

Ce concept du Privacy by Design semble donc très intéressant. Toutefois des questions se posent et ne sont pas vraiment résolues par le règlement : quelles sont les entreprises visées ? Quelles sont les technologiques visées ? Mais surtout, quelles sont, concrètement, les mesures à mettre en œuvre ?

Il faut savoir qu’en cas de non-respect des principes de Privacy by Design et Privacy by Default, la sanction encourue est dissuasive, et c’est le moins que l’on puisse dire ! En effet, l’entreprise peut se voir condamnée à payer une amende dont le montant peut aller jusqu’à 10 000 000 € ou 2 % de son chiffre d’affaires annuel mondial.

Ainsi, pour « aider » les structures à savoir si elles sont en bonne voie dans la mise en œuvre des principes, l’article 42 du Règlement prévoit la certification de la protection des données personnelles, qui vise à faire constater par un organisme de certification que des mesures techniques et organisationnelles appropriées ont été mises en place pour le respect des obligations incombant au responsable du traitement ou à un sous-traitant. La certification, reconnue par la CLIN, viendra donc apporter un cadre structurant aux nouveautés apportées par le RGPD.

Il reste environ 5 mois aux entreprises pour se mettre en conformité avec le Règlement et adopter les mesures au respect de ces principes, les juristes vont avoir du travail…