L’un (Privacy by design) est certes plus connu que le second (Privacy By default) mais il n’en demeure pas moins important.
Le Privacy by Design pose comme postulat le fait que la vie privée des utilisateurs doit être prise en compte et appliqué par défaut avant même la conception technique d'un système informatique. Il s’agit d’une pure approche “user centric”. ... Le Privacy by Default est le corolaire du pemier avec une approche plus opérationnelle qui propose la garantie d'un niveau maximal de protection des données à caractère personnel.
Le principe de la protection des données par défaut (« privacy by default) est un élément phare du Règlement Général sur la Protection des Données (RGPD). Il figure parmi les principes les plus contraignants pour les entreprises en leur imposant un certain nombres de mesures.
Mais quels sont exactement les mesures exactes qui garantissent l’application du Privacy by default ? (I). Comment se présente son domaine application ? (II)
I. Les mesures techniques et organisationnelles garantissant le privacy by default
L’article 25.2 du RGPD prévoit que, au titre du privacy by default, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitée.
Ces mesures doivent être prises au regard de :
· L’état des connaissances,
· Des coûts de mise en œuvre et de la nature,
· De la portée, du contexte et des finalités du traitement ainsi
· Des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques,
Mais quels sont ces mesures ?
èMesures techniques privacy by design:
le recours à la pseudonymisation (remplacement des informations permettant d’identifier une personne par des identifiants factices)
le recours au chiffrement (cryptage de messages afin que seules les personnes autorisées puissent les lire).
La réduction du traitement des données à caractère personnel
èMesures organisationnelles privacy by design:
l'évaluation du niveau de sécurité approprié
la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises
le respect des exigences de traitement des données
II. Objet et Domaine d’application des mesures Privacy by default
Le privacy by default a pour objet les process suivants:
· La quantité de données à caractère personnel collectées
· L’étendue de leur traitement
· Leur durée de conservation
· Leur accessibilité
Les exemples de domaines d’application sont decrits ci-après:
· Limitation du stockage et rétention
Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.
Ces données personnelles sont détruites ou renvoyées au client après l'expiration de la période de conservation des données concernées. Sensibilisation et formation à la sécurité de l'information et à la protection des données
· Pseudonymisation des données
Article 4 du RGPD la définit comme “…le traitement des données à caractères personnel de telle façon que cellesci ne puissent être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaire …”
Sélection des employés
Des contrôles préalables à l'emploi doivent être effectués dans le cadre des processus de recrutement des ressources humaines. Des vérifications supplémentaires peuvent être requises pour des postes spécifiques ou pour les besoins de certains clients si la législation locale le permet.
· Contrôles d'accès physique mis en place pour protéger laconfidentialité
Des mesures de sécurité (contrôle des accès et autres éléments) doivent être mises en places (contrôlée électronique des entrées renforcés par des agents de sécurité et des fouilles personnelles à la sortie, gestion des pannes d’électricité et autres perturbations du système informatique.
CONCLUSION
La bonne mise en œuvre du Privacy by default permet d’assurer un niveau très elevé de protection des données. Elle implique que les collaborateurs, en particulier ceux qui participent au développement des nouveaux produits et services, disposent de connaissances de base suffisantes en matière de protection des données. Des progrés sont actuellement faits par les entreprises mais elles doivent encore redoubler d’éffort.
Fulness MANDONDO
Consultant Valauris Consulting Africa
République du CONGO