L’un des articles les plus complexes et difficiles à comprendre du RGPD est l’article 25, qui fait référence à la “protection des données dès la conception et par défaut” (en anglais: privacy by design et by default).
1. Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
La protection des données dès la conception – c’est quoi?
La protection des données par conception est finalement une approche qui vous garantit de prendre en compte les problèmes de confidentialité et de protection des données lors de la conception de tout système, service, produit ou processus, puis tout au long du cycle de vie. Il vous oblige à:
– mettre en place des mesures techniques et organisationnelles appropriées conçues pour mettre en œuvre les principes de protection des données et
– intégrer des garanties dans votre traitement afin de répondre aux exigences du RGPD et de protéger les droits individuels.
Essentiellement, cela signifie que vous devez intégrer ou «intégrer» la protection des données dans vos activités de traitement et vos pratiques commerciales.
La protection des données par conception a une large application. Les exemples comprennent:
– développer de nouveaux systèmes, services, produits et processus informatiques impliquant le traitement de données personnelles;
– élaborer des politiques, des processus, des pratiques commerciales et / ou des stratégies organisationnelles ayant des implications sur la confidentialité;
– conception physique;
– se lancer dans des initiatives de partage de données; ou
– utiliser les données personnelles à de nouvelles fins.
Les concepts sous-jacents de la protection des données par conception ne sont pas nouveaux. Sous le nom de «privacy by design», ils existent depuis de nombreuses années. La protection des données par conception insère essentiellement l’approche de la confidentialité par conception dans la loi sur la protection des données.
La protection des données par défaut – c’est quoi?
Par défaut, la protection des données vous oblige à vous assurer de ne traiter que les données nécessaires à la réalisation de votre objectif spécifique. Il est lié aux principes fondamentaux de protection des données que sont la minimisation des données et la limitation des finalités.
Vous devez traiter certaines données personnelles pour atteindre vos objectifs. La protection des données par défaut signifie que vous devez spécifier ces données avant le début du traitement, informer correctement les individus et traiter uniquement les données dont vous avez besoin pour votre objectif. Il ne vous oblige pas à adopter une solution «par défaut à désactivé». Ce que vous devez faire dépend des circonstances de votre traitement et des risques encourus par les individus.
Néanmoins, vous devez considérer des choses comme:
– adopter une approche «la confidentialité d’abord» avec tous les paramètres par défaut des systèmes et des applications;
– vous assurer de ne pas fournir un choix illusoire aux individus concernant les données que vous traiterez;
– ne pas traiter de données supplémentaires à moins que la personne ne le décide;
– veiller à ce que les données à caractère personnel ne soient pas automatiquement rendues publiques à des tiers, sauf si l’individu décide de le faire; et
– fournir aux individus des contrôles et des options suffisants pour exercer leurs droits.