RGPD et Privacy by Design

 

Notre constat

A l’heure du Big Data, où les données sont le nouvel or noir, les consommateurs s’interrogent sur ce qu’il advient des informations qu’ils laissent entre les mains de tiers. Les législateurs français et européens se préoccupent de plus en plus de répondre à ces questions et mettent en place des systèmes protecteur de leurs populations. Dorénavant, la conformité des données doit se penser dès sa conception. 

L’approche Privacy By Design permet d’assurer la conformité des traitements de données à caractère personnel. Elle consiste à adapter dès leur conception et par défaut, des mesures organisationnelles et techniques appropriées, afin de limiter la collecte des données au strict besoin du traitement, permettant ainsi de garantir la protection de la vie privée et des libertés fondamentales.

Pourquoi ?

Cette approche nouvelle, issue du RGPD, permet de favoriser l’économie numérique tout en créant un environnement de confiance. En effet avec le Big Data, la donnée pour être source de richesse doit être conforme aux attentes des utilisateurs. Cette confiance passe par un renforcement de la protection et de la sécurité de leurs données. Elle ne peut se concevoir sans garantir le respect de la vie privée et des libertés publiques.

Quels sont les principes fondateurs de la Privacy by Design ?

Le Privacy by Design ne se focalise pas sur la protection des données en tant que telle. Son principe phare est de penser la conception des systèmes dès leur origine, de façon à ce que les données ne nécessitent pas de protection.

L’une des mesures phares du PvD repose sur la création de services ou logiciels sans transfert du contrôle des données de l’utilisateur vers l’opérateur du système ou du service. Un Privacy by Design plus avancée permet aux entreprises de mettre en avant la mise en place d’exigences de sécurité renforcées, afin de maintenir confidentielle les informations des parties.

Le Privacy by Design implique aussi que seules les données à caractère personnel nécessaires, au regard de la finalité recherchée, soient traitées.

Quels sont les moyens de mise en œuvre d’une politique de Privacy by Design ?

La notion de Privacy by Design, peut être mise en œuvre de plusieurs manières. Cette mise en œuvre se fait aussi bien au moment de la détermination des moyens de traitement qu’au moment du traitement lui-même. Par exemple en prenant certaines mesures parmi les suivantes :

  • Pseudonymisation, qui consiste à remplacer des informations (identifiants ou données à caractère personnel) par un pseudonyme, de telle façon qu’elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires. Cette méthode permet de voir les données en clair ou l’étude de corrélations en cas de besoin particulier, tout en protégeant les informations de manière habituelle.
  • Minimisation de la collecte des données, qui ne traite que les données considérées comme indispensables aux finalités déterminées pour le traitement. Celui-ci ne portera que sur le strict minimum.
  • Chiffrement des données, qui est un procédé cryptographique permettant de rendre incompréhensible la compréhension de données à quiconque n’a pas la clé de chiffrement.
  • Preuve à divulgation nulle de connaissance, qui correspond à un protocole sécurisé dans lequel le « fournisseur de preuve », prouve mathématiquement au « vérificateur », qu’une proposition est vraie, sans avoir besoin de révéler d’autres informations que la véracité de la proposition.

Quelles sont les difficultés rencontrées ?

Les mesures doivent être proportionnées aux risques que comporte le traitement des données personnelles. Elles doivent permettre de s’adapter et d’anticiper la probabilité et la gravité de la violation de ces données.

La mise en œuvre d’une politique de PvD est un challenge en ce qu’elle implique de prendre en compte la protection des données à chaque étape du processus. Cela implique que toute personne participant à la conception et à l’exécution du traitement doit respecter cette politique mise en place par le responsable de traitement. Des moyens de contrôle devront être implémentés dès l’origine du traitement, afin de s’assurer que chaque personne impliquée respecte bien la politique mise en place.

Nos solutions

Le Cabinet HAAS propose à ses clients un accompagnement spécialisé pour la mise en œuvre du principe de Privacy By Design. Les missions réalisées sont principalement les suivantes :

  • Mise en place d’une politique et de procédures Privacy By Design
  • Réalisation d’études d’impact (PIA) suivant les recommandations de la CNIL
  • Sensibilisation du personnel à travers des formations labélisées CNIL et des outils pédagogiques dédiés
  • Etablissement de la documentation contractuelle
  • Création du « Référentiel Sécurité »
  • Mise en conformité des traitements
  • Désignation du Cabinet HAAS en tant que DPO externe