La protection des données dès la conception et par défaut sont des principes définis à l’article 25 du règlement général sur la protection des données (RGPD).
La protection des données dès la conception exige que le responsable du traitement prenne des mesures techniques et organisationnelles pour mettre en œuvre, de manière effective, les principes de protection des données et assortir le traitement de garanties nécessaires pour protéger les droits et libertés des personnes concernées.
La protection des données par défaut exige que, par défaut, des mesures techniques et organisationnelles appropriées soient mises en œuvre pour garantir que seules les données à caractère personnel qui sont nécessaires à chaque finalité du traitement soient traitées.
Ces deux principes, par leur formulation très générale et parfois complexe, sont difficiles à saisir et devraient être articulés avec d’autres articles du RGPD dont notamment l’article 5 relatif aux principes de protection des données et l’article 24 relatif à l’obligation pour le responsable du traitement d’être en mesure de démontrer sa conformité au RGPD.
Bien que ces principes s’appliquent essentiellement au responsable du traitement, ils ont une incidence sur les sous-traitants et producteurs de services ou produits (1). On peut également considérer que la protection des données dès la conception (2) est un principe chapeau complété par le principe de protection des données par défaut (3).
1. Qui est concerné ?
La protection des données dès la conception et par défaut concernent les responsables du traitement de données à caractère personnel.
Toutefois, les producteurs de produits et de services utilisant des données à caractère personnel sont encouragés à appliquer ces principes lors de la conception ou de la mise à jour de leurs produits (considérant 78 du RGPD).
Les sous-traitants, bien qu’ils ne soient pas directement concernés devront suivre les instructions des responsables du traitement découlant de l’application de ces principes (ex: ils peuvent examiner et évaluer régulièrement les opérations de traitement de leur sous-traitant). En outre, proposer des produits ou services conformes au RGPD peut devenir un avantage commercial pour un sous-traitant.
2. Qu’est-ce que la protection des données dès la conception ?
La protection des données dès la conception implique la mise en oeuvre de mesures techniques et organisationnelles ainsi que de garanties nécessaires, au moment de la détermination des moyens de traitement et pendant le traitement lui-même afin d’assurer le respect des principes de protection des données et la protection des droits et libertés des personnes concernées.
Il est donc essentiel que les responsables du traitement comprennent quand ce principle s’applique (2.1.), le contenu de ces finalités (2.2.), le type de mesures techniques et organisationnelles et de garanties à mettre en place (2.3.) ainsi que la manière de les déterminer (2.4.) et de démontrer leur efficacité (2.5.).
2.1. A quel moment la protection des données dès la conception s’applique-t-elle ?
La protection des données dès la conception est une obligation continue.
Elle doit être mise en oeuvre :
– au moment de la détermination des moyens par le responsable du traitement pour traiter les données à caractère personnel (par exemple, les décisions concernant l’architecture, les procédures, les protocoles, la disposition et l’apparence).
– au moment du traitement lui-même : le responsable du traitement doit mettre en oeuvre des examens et des évaluations réguliers de l’efficacité des mesures et des garanties choisies.
Selon le CEPD, les responsables du traitement doivent être en mesure de démontrer que de des évaluations ont été effectuées pour tous les moyens faisant partie du traitement. Toutefois, ces exigences semblent excessives et aller au-delà des exigences relatives au traitement présentant des risques élevés (AIPD). C’est pourquoi le CEPD devrait apporter des éclaircissements supplémentaires sur ce point.
2.2. Dans quel but ?
Le respect des principes de protection des données (ex: limitation des finalités, minimisation des données, etc.) énoncés à l’article 5 du RGPD dont vous trouverez un aperçu ici.
La protection des droits des personnes concernées énoncés aux articles 12 à 22 du RGPD (ex: droit d’accès, etc.) (voir un aperçu ici).
La protection des libertés des personnes concernées (considérant 4 du RGPD et Charte des droits fondamentaux de l’UE). Il s’agit notamment du respect de la vie privée et familiale, du domicile et des communications, de la protection des données personnelles, de la liberté de pensée, de conscience et de religion, de la liberté d’expression et d’information, de la liberté d’entreprise, du droit à un recours effectif et à un procès équitable, de la diversité culturelle, religieuse et linguistique.
2.3. Que sont les mesures techniques ou organisationnelles et les garanties à mettre en œuvre ?
Afin d’atteindre les objectifs énoncés ci-dessus, les responsables du traitement doivent mettre en œuvre des mesures techniques ou organisationnelles et des garanties.
Le CEPD considère que ces mesures et garanties doivent être conçues de manière à être robustes et à pouvoir faire face à toute augmentation du risque de non-respect du principe de protection données dès la conception.
Les mesure technique ou organisationnelle
Il peut s’agir de l’utilisation de solutions techniques avancées ou la formation de base du personnel. La mesure choisie n’a pas besoin d’être sophistiquée dès lors qu’elle est appropriée. (ex: la pseudonymisation des données afin de mettre en œuvre le principe de minimisation des données).
Les garanties
Elles n’ont été clairement définies ni par les autorités ni par le RGPD. Il convient de les adapter au contexte du traitement et au risques encourus et se confondent parfois avec les mesures techniques.
Exemples: pseudonymisation, possibilité pour les personnes concernées d’intervenir dans le traitement, fourniture automatique et répétée d’informations sur les données à caractère personnel stockées ou la présence d’un rappel de durée de conservation dans un référentiel de données, mise en place d’un système de détection des logiciels malveillants sur un réseau informatique ou un système de stockage en plus de la formation des employés à la détection de phishing (hammeçonage) et à la « cyber hygiène » de base.
2.4. Comment déterminer ces mesures et garanties ?
Le responsable du traitement doit tenir compte de l’état de l’art, du coût de la mise en œuvre et procéder à une évaluation des risques en tenant compte de la nature, de la portée, du contexte et des finalités du traitement afin de déterminer les mesures et les garanties appropriées telles que définies ci-dessus.
Évaluation des risques
Lors de l’analyse des risques, le responsable du traitement doit identifier les risques et déterminer leur probabilité et leur gravité (comme l’exige la réalisation d’une analyse d’impact sur la protection des données ; voir ici pour plus de détails concernant les AIPD)
Le risque et les critères d’évaluation sont : i) les actifs : les personnes physiques concernées par la protection de leurs données à caractère personnel ; ii) les risques d’atteintes aux droits et libertés des personnes physiques ; iii) compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Nature, étendue, contexte et finalité du traitement
- La nature du traitement peut être comprise comme les caractéristiques inhérentes au traitement.
- La portée se réfère à la taille et à l’étendue du traitement.
- Le contexte est lié aux circonstances du traitement, qui peuvent influencer les attentes de la personne concernée.
- La finalité est le but du traitement.
État de l’art
Les responsable du traitement, lorsqu’ils déterminent les mesures techniques et organisationnelles appropriées, doivent tenir compte de l’évolution actuelle de la technologie disponible sur le marché.
Le fait de ne pas se tenir au courant des changements technologiques pourrait entraîner un non-respect de l’article 25.
Coût de la mise en œuvre
Le coût fait référence aux ressources en général, y compris le temps et les ressources humaines.
Le responsable du traitement doit gérer les coûts pour être en mesure de mettre en œuvre efficacement tous les principes. L’incapacité à supporter les coûts ne sera pas considérée comme une excuse du non-respect du RGPD.
Toutefois, la position du CEPD sur ce point reste floue et nous sommes d’avis que la référence au coût de la mise en œuvre dans le RGPD a pour objectif de s’assurer que les coûts sont pris en compte lors du choix de la mesure à mettre en place, notamment, afin de ne pas permettre aux autorités d’exiger que des mesures trop honéreuses soient mises en place s’il existe des alternatives acceptables. Il n’a, en revanche, pas pour objectif d’ajouter une obligation supplémentaire de contrôle des coûts pour les responsables du traitement.
2.5. Comment démontrer leur efficacité ?
Les responsables du traitement doivent pouvoir démontrer l’efficacité des mesures mises en places.
Selon le contexte, le responsable du traitement peut soit indiquer les raisons du choix de la mesure ou établir des indicateurs de performance.
Ces indicateurs peuvent être:
- des mesures quantitatives comme le niveau de risque, la réduction des plaintes ou le temps de réponse ; ou
- des mesures qualitatives comme l’évaluation du rendement, les évaluations d’experts ou l’utilisation de barèmes de notation).
3.Protection des données par défaut
3.1. Vue d’ensemble
Le principe de la protection des données par défaut complète le principe de la protection des données dès la conception en exigeant que les responsables du traitement mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique sont traitées.
Ces mesures concernent la quantité de données à caractère personnel collectées, l’étendue de leur traitement, leur durée de conservation et leur accessibilité.
Comme pour la protection des données dès la conception, il s’agit également d’une obligation continue du responsable du traitement qui s’applique à compter de la détermination des moyens de traitement.
3.2. Quelles Mesures techniques et organisationnelles « par défaut »?
Selon le CEPD, les termes de mesures techniques et organisationnelles doivent être compris de la même manière que pour la protection des données dès la conception.
La « protection des données par défaut », notamment les mesures techniques, fait référence aux choix effectués par un responsable du traitement concernant toute valeur de configuration ou option de traitement préexistante qui est attribuée dans une application logicielle, un programme informatique ou un dispositif. Ce choix devrait, en particulier, ajuster la quantité de données à caractère personnel collectées, l’étendue de leur traitement, la durée de leur conservation et leur accessibilité.
Les mesures organisationnelles devraient être conçues de manière à ne traiter, dès le départ, que le minimum de données à caractère personnel nécessaire pour les opérations spécifiques.
3.3. Les attentes du CEPD en pratique
La protection des données par défaut se concentre principalement sur la minimisation des données, la durée de conservation et le contrôle des accès.
Minimisation des données
Les mesures doivent, par défaut, être appropriées pour garantir que seules les données à caractère personnel qui sont nécessaires à chaque finalité spécifique du traitement sont traitées. Les responsables du traitement doivent tenir compte du volume des données à caractère personnel, de leur type, de leur catégorie et de leur niveau de détail (« quantité de données à caractère personnel ») et veiller à ce que les traitements soient limités à ce qui est nécessaire.
Conservation des données
Si les données à caractère personnel ne sont plus nécessaires après leur premier traitement, elles doivent, par défaut, être supprimées ou rendues anonymes. Les responsables du traitement doivent être en mesure de justifier objectivement toute conservation des données.
Contrôle des accès aux données
Le responsable du traitement doit, par défaut, limiter l’accès et veiller à ce que l’accès aux données à caractère personnel soit limité aux personnes autorisées sur la base d’une évaluation de nécessité. Les données doivent toutefois être accessibles à ceux qui en ont besoin en cas d’urgence, par exemple dans des situations critiques. Le CEPD estime, par ailleurs, que la sécurité de l’information devrait toujours être un défaut pour tous les systèmes, solutions de transfert.
Si le traitement nécessite la publication ou toute autre forme de mise à disposition de données à caractère personnel à un nombre indéfini de personnes physiques, le responsable du traitement devrait consulter la personne concernée au préalable et, le cas échéant, obtenir son consentement.
En conclusion
Les responsables du traitement devraient élaborer et mettre en œuvre les politiques et procédures internes nécessaires pour assurer et démontrer que:
- Les principes de protection des données sont pris en considération à tous les stades de toute activité de traitement des données, en particulier dès le début ;
- Des mesures techniques et organisationnelles et des garanties sont définies et mises en œuvre pour chaque activité de traitement afin de garantir le respect des principes de protection des données.
- Les personnes concernées peuvent facilement faire valoir leurs droits et exercer un contrôle sur leurs données.
Les responsables du traitement devraient également documenter les décisions prises (y compris le raisonnement qui sous-tend les choix effectués) et/ou établir des indicateurs clés pour démontrer l’efficacité des mesures mises en œuvre. Ils peuvent également envisager d’obtenir une certification.
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat
Cette publication est également disponible en en_GB.