La protection des données à la conception et par défaut sont de nouveaux principes définis à l’article 25 du nouveau règlement sur la protection des données (GDPR). Même s’ils sont explicitement mentionnés dans le GDPR, ils sont les conséquences de l’application des autres principes de protection des données et existaient déjà de manière implicite dans la directive 95/46 / CE relative à la protection des données.
Qui est concerné par la protection des données à la conception et par défaut ?

Les principes de la protection des données à la conception et par défaut concernent à la fois les responsables de traitement  et les producteurs de produits et services utilisant des données personnelles. En vertu de ces principes, ils devraient tenir compte des principes de protection des données lors de la conception de leurs nouveaux produits et services ou de la mise en œuvre de nouvelles activités de traitement de données.

Toutefois, le GDPR a limité l’obligation des producteurs, car ils ne sont encouragés qu’à prendre en compte les principes de protection de la vie privée lors de la conception de leurs produits et services. Par conséquent, les principes ne s’appliquent effectivement qu’aux responsables de traitement  (voir considérant 78).

De quoi s’agit-il ?

Le principe de la protection des données à la conception exige explicitement que les responsables de traitement des données mettent en œuvre des mesures techniques et organisationnelles appropriées pour appliquer efficacement les principes de protection des données et à assortir le traitement des garanties nécessaires afin de se conformer au GDPR.

Ces mesures doivent être mises en œuvre à la fois au moment de la détermination des moyens de traitement et au moment de sa mise en oeuvre.

Par exemple, ces mesures peuvent être pseudonymisation afin de mettre en œuvre le principe de minimisation des données (pour plus de détails, voir l’article des principes de confidentialité ici)

Le principe de protection des données par défaut est de portée plus limitée et nécessite la mise en œuvre de mesures techniques et organisationnelles visant à garantir que seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont utilisées (c’est-à-dire assurer la proportionnalité des données traitées pour chaque finalité de traitement de données)

Ce principe s’applique à la quantité de données utilisées pour chaque finalité, à l’étendue de leur utilisation, à la période de conservation des données et à leur accessibilité (gestion des accès).

La différence entre la protection des données par conception et les principes par défaut n’est pas claire. Les deux principes visent à mettre en œuvre des mesures organisationnelles et techniques et il semble que la protection des données par défaut constitue une sous-section du principe de la protection des données à la conception dès lors que la première concerne des principes spécifiques de protection des données tandis que la seconde les concernent tous.

Toutefois, le principe de protection des données s’applique au moment de la conception et de la mise en oeuvre du traitement tandis que le principe de protection des donnée par défaut n’a pas cette particularité, il est plutôt la conséquence des décisions prises au moment de la conception et de la mise en oeuvre.

En pratique, faire la différence entre les deux principes n’est pas vraiment pertinent lorsqu’il s’agit d’assurer la conformité avec le GDPR.

La mise en œuvre de ces deux principes implique qu’un responsable des données doit mettre en place des mesures organisationnelles et techniques visant à assurer que ses activités de traitement des données respectent les principes de la protection des données de la conception jusqu’à la fin du traitement.

Dans le cadre de son programme de conformité, les responsables de traitement  devraient donc élaborer les politiques internes nécessaires pour prouver que:

  • Les principes de protection des données sont pris en compte dès la conception de chaque activité de traitement de données;
  • Les mesures techniques et organisationnelles sont mises en œuvre pour assurer l’application de ces principes et de la conformité des traitements

Les responsables de traitement doivent également tenir un registre des décisions prises pour chaque traitement des données en termes de finalité, de quantité de données traitées, de durée de conservation des données, etc. (voir ici pour plus de détails sur le registre). Afin de garder un historique de la mesure prise pour le traitement spécifique des données (voir ici pour plus de détails).

Ce article est également disponible en en_GB.

Partage

Protection des données à la conception et par défaut