La protection des données à la conception et par défaut sont de nouveaux principes définis à l’article 25 du nouveau règlement sur la protection des données (RGPD). Ces obligations découlent de l’application des autres principes de protection des données et existaient déjà de manière implicite dans la directive 95/46/CE relative à la protection des données.
Qui est concerné par la protection des données à la conception et par défaut ?

Les principes de la protection des données à la conception et par défaut concernent principalement les responsables de traitement de données personnelles.  En vertu de ces principes, ils devraient tenir compte des principes de protection des données lors de la mise en œuvre de nouvelles activités de traitement de données.

Le RGPD encourage également les producteurs à prendre en compte les principes de protection de la vie privée lors de la conception de leurs produits et services.  Toutefois, il ne s’agit pas d’une obligation légale.

De quoi s’agit-il ?

Le principe de la protection des données à la conception exige que les responsables de traitement des données mettent en œuvre des mesures techniques et organisationnelles appropriées pour appliquer efficacement les principes de protection des données et à assortir le traitement des garanties nécessaires afin de se conformer au GDPR.

Ces mesures doivent être mises en œuvre à la fois au moment de la détermination des moyens de traitement et au moment de sa mise en oeuvre.

Par exemple, ces mesures peuvent être pseudonymisation afin de mettre en œuvre le principe de minimisation des données (pour plus de détails, voir l’article des principes de confidentialité ici)

Le principe de protection des données par défaut est de portée plus limitée et nécessite la mise en œuvre de mesures techniques et organisationnelles visant à garantir que seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont utilisées (c’est-à-dire assurer la proportionnalité des données traitées pour chaque finalité de traitement)

Ce principe s’applique à la quantité de données utilisées pour chaque finalité, à l’étendue de leur utilisation, à la période de conservation des données et à leur accessibilité (gestion des accès).

La différence entre la protection des données par conception et les principes par défaut n’est pas claire mais la distinction n’a pas beaucoup d’intérêt en pratique. Les deux principes visent à mettre en œuvre des mesures organisationnelles et techniques.

Le principe de protection des données à la conception s’applique au moment de la conception et de la mise en oeuvre du traitement tandis que le principe de protection des donnée par défaut n’a pas cette particularité, il est plutôt la conséquence des décisions prises au moment de la conception et de la mise en oeuvre.

En pratique, faire la différence entre les deux principes n’est pas vraiment pertinent lorsqu’il s’agit d’assurer la conformité avec le GDPR.

La mise en œuvre de ces deux principes implique qu’un responsable des données mette en place des mesures organisationnelles et techniques visant à assurer que ses activités de traitement des données respectent les principes de la protection des données de la conception jusqu’à la fin du traitement.

Dans le cadre de son programme de conformité, les responsables de traitement  devraient donc élaborer les politiques internes nécessaires pour prouver que:

  • Les principes de protection des données sont pris en compte dès la conception de chaque activité de traitement de données;
  • Les mesures techniques et organisationnelles sont mises en œuvre pour assurer l’application de ces principes et de la conformité des traitements

Les responsables de traitement doivent également maintenir un registre de traitement des données  (voir ici pour plus de détails sur le registre) et mettre en oeuvre des analyse d’impacts lorsque le traitement de données peut résulter en des risques élevés pour les droits et libertés des personnes concernées (voir ici pour plus de détails).

Partage

Protection des données à la conception et par défaut