Par Eliott Mourier, Ph.D, Data Privacy Senior Consultant et GDPR Offer Manager de Micropole France
Si vous avez initié une démarche de mise en conformité au GDPR au sein de votre organisation, vous vous êtes forcément interrogé sur un concept qui imprègne l’ensemble de la nouvelle règlementation : le « Privacy by Design and by Default » ou, en français, « le respect de la vie privée dès la conception et par défaut ».
Le considérant n°78 du règlement, qui parle plutôt de « protection des données dès la conception et par défaut », définit la notion de la manière suivante :
« Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous- traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics. »
Il s’agit donc pour les organisations de tous horizons de s’assurer de la bonne prise en compte des principes et exigences posés par le règlement dès l’initialisation des projets et non plus la veille de l’ouverture au public ou de la mise en production, comme c’était trop souvent le cas jusqu’à maintenant. Le Privacy by Design trouve ainsi toute sa place dans le changement paradigmatique opéré par le GDPR, qui fait basculer la protection des données personnelles d’une logique déclarative à une logique de responsabilisation continue (accountability).
Toutefois, comme trop souvent avec le GDPR, le texte ne nous fournit pas d’éléments plus précis et opérationnels quant à la mise en œuvre attendue de ce principe dès mai prochain. Il faut, pour cela, faire la généalogie du concept de « Privacy by Design », traverser l’Atlantique et se plonger dans les travaux d’Ann Cavoukian, préposée à la protection de données de l’état d’Ontario au Canada. Dans un document de référence de 2012 intitulé « Operationalizing Privacy by Design : A guide to Implementing Strong Privacy Practices », l’auteure synthétise 20 ans de travaux sur le sujet en 7 principes fondamentaux, qui nous aident à y voir plus clair :
- Proactivité plutôt que réactivité, prévention plutôt que remédiation
- La protection de la vie privée configurée par défaut
- La protection de la vie privée ancrée dans la conception des projets
- Considérer la protection de la vie privée avec une approche “gagnant-gagnant”
- Sécurisation de bout-en-bout
- Visibilité et transparence
- Respect des utilisateurs, approche centrée sur l’utilisateur
Des principes de bon sens, mais qui doivent être complétés d’indications plus concrètes pour pouvoir se matérialiser dans l’entreprise comme l’attend le GDPR. Ainsi, la bonne méthode pour réaliser des audits clients est d’aborder le Privacy by Design and by Default à travers une grille de lecture fondée sur onze exigences opérationnelles :
- Licéité, loyauté et transparence des traitements
- Limitation des finalités des traitements
- Minimisation des données
- Exactitude des données
- Limitation de la conservation des données
- Intégrité et confidentialité des données
- Catégories particulières de données personnelles (données dîtes « sensibles »)
- Transferts de données hors EEE
- Sous-traitance et partenariats
- Prise en compte des droits des personnes (droit d’accès, rectification, effacement, opposition, portabilité, etc.)
- Accountability & Traçabilité
L’intégration de ces principes & exigences dans la genèse de tout projet, de toute solution technique (notamment dans la modélisation des bases de données), de tout produit ou encore de tout process métier, nécessite un effort conséquent de sensibilisation et de formation des acteurs, ainsi que la mise en place d’une gouvernance et de process dédiés. Au milieu de la nébuleuse d’exigences définies par le GDPR, nul doute que la capacité des entreprises à démontrer l’intégration formalisée du Privacy by Design and by Default dans la philosophie et la mécanique globale de l’entreprise constituera, aux yeux du régulateur, un élément décisif dans son appréciation de votre niveau de conformité. Pour toutes les (trop nombreuses) organisations qui ont jusqu’à maintenant opté pour la politique de l’autruche, il y a désormais urgence à se saisir du sujet.