News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik
privacy by design

Privacy by design et RGPD

Table des matières

Le concept de privacy by design est un des principes fondamentaux du RGPD (Règlement général sur la protection des données). Il ne s’agit pas, contrairement à d’autres règles imposées par le texte, d’une mesure de protection des données en tant que telle mais plutôt d’une logique qui doit être adoptée par l’entreprise dans l’ensemble de ses activités. 


Ainsi, le rôle du DPO pour le RGPD devient central en ce que chaque projet ou produit de l’entreprise doit prendre en compte le RGPD dans son fondement, via le principe de privacy by design. 


Celui-ci vise en effet à instaurer une logique de protection des données dès la conception des produits et des outils technologiques développés. 


Qu’est-ce que le privacy by design ? Quels en sont les piliers ? Comment appliquer le principe dans l’entreprise ? 


privacy by design rgpd

Privacy by design : définition


On l’a dit, le principe de privacy by design vise à modifier en profondeur la manière dont les entreprises appliquent le RGPD. Il ne s’agit plus de se mettre en conformité avec la réglementation en mettant en place certaines mesures, mais bien de prendre en compte la protection des données au cœur de leur activité. 


Le principe de privacy by design


Le principe de privacy by design est établi par l’article 25 du RGPD, intitulé “Protection des données dès la conception et protection des données par défaut”. 


L’idée est que dès qu’un projet est rattaché à une opération de traitement des données, le RGPD doit intégrer la logique de protection des données personnelles dès la conception du projet. Naturellement, le but est de limiter les risques de manquements. 


Le principe concerne tous les projets qui portent sur le traitement des données. En pratique, cela concerne un grand nombre d’activités puisqu’il faut appliquer le privacy by design dès qu’il y a collecte, traitement, modification ou transmission des données, par exemple. 


Enfin, il faut noter que les entreprises doivent prendre des mesures à la fois techniques et opérationnelles. Concrètement, comme on le verra plus loin, cela peut recouvrir le rôle du délégué à la protection des données intégré dans la phase de conception du projet jusqu’à la mise en place de solutions techniques de chiffrement dès la construction de la solution. 


Privacy by design ou privacy by default ? 


L’article 25 du RGPD qu’on vient de citer parle également de protection des données par défaut. Les deux notions ne sont pas identiques. 


En effet, la notion de privacy by design implique que les opérations de traitement de données doivent être nativement effectuées en respectant la vie privée des personnes concernées à chaque étape du parcours. La protection des données est donc intégrée aux solutions technologiques mises en place. 


De son côté, le principe de privacy by default implique que les règles de respect de la vie privée sont appliquées “par défaut”, c’est-à-dire sans nécessiter de manipulations extérieures. C’est par exemple le cas lorsque le recueil du consentement de l’utilisateur pour le dépôt d’un cookie par exemple est, par défaut, refusé. Si la personne n’autorise pas expressément le dépôt du cookie, le site web n’en déposera pas ou n’en activera pas. 


La logique entre les deux principes est donc différente, même s’ils sont complémentaires dans l’appareil réglementaire de protection des données. 


Les 7 piliers du privacy by design

piliers du privcay by design

Le principe de privacy by design peut être découpé en 7 grands piliers :


1. Les mesures adoptées doivent être préventives et non correctives, ce qui correspondrait à une logique de correction de failles de sécurité constatées ou de risques anticipés, par exemple dans le cadre de l’analyse d’impact


2. Le principe de privacy by default dont on a parlé doit être intégré aux logiques du privacy by design.


3. Les pratiques entrepreneuriales, c’est-à-dire l’activité économique de l’entreprise, doit être conçue et si besoin ajustée aux exigences du respect de la vie privée des utilisateurs.


4. La vie privée des utilisateurs doit être respectée dès la conception du projet, notamment en ce qui concerne l’exercice des droits liés à la vie privée et protégés par le RGPD


5. La sécurité et notamment la cybersécurité de la donnée doit être assurée tout au long du processus de traitement de données et tout au long de leur conservation. 


6. L’entreprise doit être transparente sur ses pratiques, les mesures mises en place mais aussi les traitements effectués et leurs finalités. 


7. Les mesures de protection et de contrôle doivent être adoptées dans une logique globale et intégrante, visant à apporter un niveau de protection optimal. 


Bon à savoir : le concept de privacy by design est né en réaction aux risques posés par l’émergence de la Big Data. Cette réalité économique qui implique le traitement de données en masse et leur diffusion est la raison pour laquelle le législateur a voulu insister sur la protection des données dès la conception des solutions, ce pour éviter les fuites de données en masse. 


Dans cette perspective, il convient de garder en tête que la nature du traitement mais aussi des données collectées joue un rôle important dans l’application du principe de privacy by design. Ainsi le niveau de protection à accorder sera plus important dans le cas de manipulation de données sensibles, par exemple, ou dans le cas d’un traitement systématique et automatique des données. 


Pour aller plus loin, consulter le replay de notre webinar dédié au privacy by design !

Partager l'article