Actualités : analyse de données, Business Intelligence, Data Science, Big Data


Respect de la vie privée dès la conception et par défaut, le grand leitmotiv du GDPR


Rédigé par Eliott Mourier, Micropole le 15 Février 2018

Si vous avez initié une démarche de mise en conformité au GDPR au sein de votre organisation, vous vous êtes forcément interrogé sur un concept qui imprègne l'ensemble de la nouvelle règlementation : le " Privacy by Design and by Default " ou, en français, " le respect de la vie privée dès la conception et par défaut ".



Eliott Mourier, Ph.D, Data Privacy Senior Consultant & GDPR Offer Manager de Micropole France
Eliott Mourier, Ph.D, Data Privacy Senior Consultant & GDPR Offer Manager de Micropole France
Le considérant n°78 du règlement, qui parle plutôt de " protection des données dès la conception et par défaut ", définit la notion de la manière suivante :
" Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous- traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics. "

Il s'agit donc pour les organisations de tous horizons de s'assurer de la bonne prise en compte des principes et exigences posés par le règlement dès l'initialisation des projets et non plus la veille de l'ouverture au public ou de la mise en production, comme c'était trop souvent le cas jusqu'à maintenant. Le Privacy by Design trouve ainsi toute sa place dans le changement paradigmatique opéré par le GDPR, qui fait basculer la protection des données personnelles d'une logique déclarative à une logique de responsabilisation continue.
Toutefois, comme trop souvent avec le GDPR, le texte ne nous fournit pas d'éléments plus précis et opérationnels quant à la mise en œuvre attendue de ce principe dès mai prochain. Il faut, pour cela, faire la généalogie du concept de " Privacy by Design ", traverser l'Atlantique et se plonger dans les travaux d'Ann Cavoukian, préposée à la protection de données de l'état d'Ontario au Canada. Dans un document de référence de 2012 intitulé " Operationalizing Privacy by Design : A guide to Implementing Strong Privacy Practices ", l'auteure synthétise 20 ans de travaux sur le sujet en 7 principes fondamentaux, qui nous aident à y voir plus clair :
I. Proactivité plutôt que réactivité, prévention plutôt que remédiation
II. La protection de la vie privée configurée par défaut
III. La protection de la vie privée ancrée dans la conception des projets
IV. Considérer la protection de la vie privée avec une approche "gagnant-gagnant"
V. Sécurisation de bout-en-bout
VI. Visibilité et transparence
VII. Respect des utilisateurs, approche centrée sur l'utilisateur

Respect de la vie privée dès la conception et par défaut, le grand leitmotiv du GDPR
Des principes de bon sens, mais qui doivent être complétés d'indications plus concrètes pour pouvoir se matérialiser dans l'entreprise comme l'attend le GDPR. Ainsi, la bonne méthode pour réaliser des audits clients est d'aborder le Privacy by Design and by Default à travers une grille de lecture fondée sur onze exigences opérationnelles :
1. Licéité, loyauté et transparence des traitements
2. Limitation des finalités des traitements
3. Minimisation des données
4. Exactitude des données
5. Limitation de la conservation des données
6. Intégrité et confidentialité des données
7. Catégories particulières de données personnelles (données dîtes " sensibles ")
8. Transferts de données hors EEE
9. Sous-traitance et partenariats
10. Prise en compte des droits des personnes (droit d'accès, rectification, effacement, opposition, portabilité, etc.)
11. Accountability & Traçabilité
L'intégration de ces principes & exigences dans la genèse de tout projet, de toute solution technique (notamment dans la modélisation des bases de données), de tout produit ou encore de tout process métier, nécessite un effort conséquent de sensibilisation et de formation des acteurs, ainsi que la mise en place d'une gouvernance et de process dédiés. Au milieu de la nébuleuse d'exigences définies par le GDPR, nul doute que la capacité des entreprises à démontrer l'intégration formalisée du Privacy by Design and by Default dans la philosophie et la mécanique globale de l'entreprise constituera, aux yeux du régulateur, un élément décisif dans son appréciation de votre niveau de conformité. Pour toutes les (trop nombreuses) organisations qui ont jusqu'à maintenant opté pour la politique de l'autruche, il y a désormais urgence à se saisir du sujet.

Biographie de Eliott Mourier, Ph.D, Data Privacy Senior Consultant & GDPR Offer Manager de Micropole France
Sensibilisé dès son doctorat en sciences sociales à l'importance de la qualité des données et à la nécessité de leur bonne gouvernance, Eliott Mourier a rejoint Micropole en 2015 où il assume des missions de gestion de projet et de conseil en Master Data Management / Data integration / Data Quality dans les secteurs de l'assurance, de la pharma, de l'environnement/énergie ou encore pour le compte d'établissement publics. Il est également en charge de l'offre GDPR Compliance Assessment.




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Facebook
Apple Podcast
App Store
Google Play Store