Points de vue
Les 10 principes du GDPR. #6 : La protection des données dès la conception et par défaut
La formalisation d’une bonne idée
Le Règlement général relatif à la protection des données (General Data Protection Regulation - GDPR) modifie considérablement les règles européennes relatives à la protection des données. L’introduction des notions de « protection des données dès la conception » et de « protection des données par défaut » compte parmi les modifications. S’il s’agit d’une exigence juridique nouvelle du GDPR, ces notions en revanche ne sont pas nouvelles. Il est essentiel d’envisager la protection des données dès les prémices du processus de développement pour parvenir à satisfaire à l’exigence de protection de la vie privée.
Auteur : Shay Danon
Un élément essentiel du GDPR
Le GDPR modifie considérablement les règles européennes relatives à la protection des données. L’introduction des notions de « protection des données dès la conception » et de « protection des données par défaut » compte parmi les modifications. La protection dès la conception prévoit que les entreprises envisagent la protection des données dès les premières étapes de la conception et tout au long du processus de développement de nouveaux produits, processus ou services impliquant le traitement de données à caractère personnel. La protection des données par défaut signifie que, lorsqu’un système ou un service permet à la personne de choisir la quantité de données à caractère personnel la concernant qu’elle souhaite partager, les paramètres par défaut doivent être les plus respectueux de sa vie privée. Si la protection dès la conception et la protection par défaut deviennent des exigences légales avec le GDPR, ces notions ne sont pas nouvelles. Il est essentiel d’envisager la protection des données dès les prémices du processus de développement pour parvenir à satisfaire à l’exigence de protection de la vie privée.
Renforcer l’efficacité en envisageant la protection des données en amont
Selon la Directive actuelle, les responsables de traitement des données sont déjà tenus de mettre en œuvre les mesures techniques et organisationnelles adéquates pour protéger les données contre un traitement illicite. Elle permet toutefois de réduire les considérations liées à la protection des données à une simple réflexion qui intervient a posteriori du processus de développement. Le GDPR impose aux entreprises d’envisager la protection des données dès les toutes premières étapes. Elle doit faire partie intégrante de tout nouveau produit ou service et ne doit pas être ajoutée après coup. Cela peut sembler complexe, mais c’est en réalité plus simple que de se pencher sur la question de la protection de la vie privée une fois la phase de conception achevée. Une réflexion en amont sur les données à caractère personnel que vous souhaitez utiliser, sur la finalité poursuivie et sur la façon de le faire en toute légitimité, réduit le risque de découvrir par la suite que l’intégration de la protection des données est difficile sur le plan technologique, coûteuse voire impossible.
L’application de la protection des données dès la conception rendra par conséquent le processus de développement plus efficace. Identifier les données que vous souhaitez utiliser et permettre aux personnes concernées de choisir comment les données les concernant seront utilisées en mettant en œuvre la protection dès la conception, vous aidera à faire preuve de transparence envers elles plus facilement.
Et la transparence est essentielle lorsqu’il s’agit de gagner la confiance des personnes dont vous recueillez les données. En d’autres termes, appliquer la protection des données dès la conception et par défaut est simplement une bonne idée. C’est la raison pour laquelle de nombreuses entreprises ont déjà intégré ces concepts dans leurs processus de développement.
Intégrer la protection des données dans le processus de conception: par où commencer ?
Pour intégrer la protection des données dans le processus de conception, il convient de prendre en compte plusieurs aspects.
1. Opérer dans les limites juridiques et être responsable
En vertu du GDPR, les organisations seront non seulement tenues de respecter les principes de protection des données, mais aussi de prouver qu’elles les respectent. Une stratégie de protection des données est essentielle pour réaliser des choix dès les premiers stades du processus de développement concernant la gestion de la protection de la vie privée dans votre nouveau service ou produit. Il s’agit d’évaluer rapidement si l’idée est réalisable dans les limites juridiques imposées et de recourir, pour ce faire, à une analyse d’impact relative à la protection des données (Privacy Impact Assessment - PIA). Une PIA vous aide à identifier les risques liés à la protection de la vie privée eu égard à votre nouvelle conception. N’oubliez pas de consigner les résultats de votre PIA car ils vous permettront ultérieurement de prouver les raisons qui ont motivé certaines de vos décisions.
2. Penser à l’éthique
Les aspects éthiques de la notion doivent, eux aussi, être pris en considération très tôt. Chaque organisation doit déterminer le degré de transparence qu’elle souhaite offrir dans le cadre du traitement des données et la quantité de données qu’elle souhaite recueillir sur les personnes concernées. Il est utile de se demander si l’on utiliserait soi-même le produit ou le service en question.
3. La communication est essentielle
La communication avec les personnes concernées est primordiale dès les prémices de la conception et tout au long du processus de développement. Les canaux de communication doivent être clairs, y compris en cas de problème. Les personnes concernées doivent savoir à qui s’adresser si elles souhaitent en savoir plus sur le traitement des données à caractère personnel les concernant et comment exercer leurs droits.
4. Sécurité et qualité des données, retrait
Il est aussi bien sûr important de réfléchir à des mesures de sécurité adéquates, à la possibilité de garantir la qualité des données et à ce qu’il adviendra d’elles lors du retrait du produit ou du service.
Mise en œuvre
La bonne mise en œuvre de la protection des données dès la conception et par défaut implique que les collaborateurs, en particulier ceux qui participent au développement des nouveaux produits et services, disposent de connaissances de base suffisantes en matière de protection des données. Des politiques, directives et instructions de travail claires en la matière doivent être conçues et un expert de la protection des données doit se tenir à disposition pour aider à mettre en œuvre ces exigences. La méthode de développement (agile, waterfall, etc.) utilisée au sein de l’entreprise doit être prise en compte, afin que les notions soient appliquées à tous les stades du processus de développement. Cela permettra aux équipes de développement de prendre des mesures appropriées à chaque phase. Enfin, une fois un modèle achevé, il doit être adopté par l’organisation et contrôlé tout au long de sa durée de vie.
Protection des données dès la conception et par défaut, qu’y a-t-il à redouter ?
Rendre obligatoires la protection des données dès la conception et la protection des données par défaut formalise une bonne idée. Le GDPR vise à donner aux personnes concernées plus de pouvoir sur les données à caractère personnel les concernant. La mise en œuvre de la protection des données dès la conception et par défaut reflète clairement cet objectif. Proposer par défaut l’option la plus protectrice permet aux personnes concernées d’avoir leur mot à dire sur les éléments d’information les concernant pouvant être utilisés. L’intégration de la protection des données dès la conception dans le processus de développement est la seule manière de bien mettre en œuvre la protection des données. Ces notions constituent une occasion pour les entreprises de renforcer leur efficacité et de gagner la confiance des sujets de données. Il n’y a là rien à redouter, n’est-ce pas?
Recommandations
Les 10 principes du GDPR. #7 : Méthodes d’exécution de l’autorité de protection des données
De quelles méthodes d’exécution l’autorité de protection des données (Data Protection Authority - DPA) dispose-t-elle pour garantir la conformité ?
Les 10 principes aspects du GDPR. #8: La pseudonymisation et son utilisation en matière de profilage
L’avantage que la pseudonymisation peut constituer pour vous et vos clients