Mise en œuvre du Privacy By Design

Le règlement général sur la protection des données (GDPR) a introduit de nombreux changements dans la façon dont les entreprises et les organismes publics pensent à la vie privée. L’un de ces moyens réside dans la décision d’encoder le concept de « Privacy by Design » (PbD) dans la loi par le biais de l’article 25.

Heureusement, contrairement à une grande partie du GDPR, le concept de Privacy by Design est assez bien rodé.

Qu’est-ce que le Privacy by Design, pourquoi le GDPR l’exige-t-il et comment pouvez-vous mettre en œuvre le PbD dans votre propre entreprise ? Vous trouverez les réponses et les listes de contrôle pour vous aider tout au long du chemin sont ci-dessous.

Qu’est-ce que le Privacy by Design ?

L’explication la plus élémentaire du Privacy by Design n’est guère plus que « la protection des données par la conception technologique ».

A la base, cela signifie que vous devez intégrer des caractéristiques de protection des données et de confidentialité dans l’ingénierie, les pratiques et les procédures de votre système. Il ne devrait pas s’agir d’une réflexion après coup ou d’un supplément à vos processus ou à votre infrastructure.

Une façon de le décrire est de souligner ce que le Privacy by Design n’est pas. Par exemple, si vous êtes un particulier qui navigue sur Internet, il importe peu que vous utilisiez un VPN et un pare-feu pour protéger votre ordinateur si vous utilisez également le mot de passe :  » password123  » sur chaque compte. Un VPN ne compensera pas votre utilisation de mots de passe faibles. Vous devez intégrer la protection de la vie privée à tous les niveaux, puis vous pouvez ajouter des fonctions de sécurité supplémentaires comme un VPN.

Que cela signifie-t-il en pratique pour les entreprises ? Voici quelques exemples de Privacy by Design :

• Réaliser une étude d’impact sur la protection des données (DPIA) avant d’utiliser des informations personnelles de quelque manière que ce soit
• Fournir les coordonnées de votre délégué à la protection des données (DPO) ou d’une autre partie responsable
• Rédiger une politique de confidentialité facile à lire et tenue à jour

Pour autant, Privacy by Design va bien plus loin que cela et a un impact sur presque tous les domaines de votre utilisation de la technologie et du traitement des données. Ces exemples ne font que démontrer certaines des façons dont vous pouvez intégrer la protection de la vie privée dans vos processus.

Les 7 principes de Privacy by Design

Le concept de Privacy by Design comporte sept principes et chacun est aussi important que le suivant. Ces principes sont :

1. Proactif et non réactif/préventif et non correctif
2. La confidentialité comme valeur par défaut
3. La confidentialité intégrée dans la conception
4. Fonctionnalité complète
5. Sécurité de bout en bout
6. .de bout en bout
7. Visibilité et transparence
8. Respect de la vie privée des utilisateurs

Commençons par le principe 1 : Proactif et non réactif/préventif et non correctif.

Le premier principe fait valoir que la confidentialité des données doit apparaître au début du processus de planification. Si votre pratique de la sécurité consiste à éteindre les incendies et à traiter les violations, alors vous êtes réactif. Il établit le cœur philosophique du reste des principes.

Principe 2 La vie privée comme paramètre par défaut est peut-être le principe le plus difficile pour les entreprises à envelopper leur esprit. Il affirme que la vie privée doit être au premier plan de ce que vous faites. Cela signifie qu’il faut limiter le partage, minimiser les données, supprimer les données que vous n’utilisez plus et toujours agir sur une base légale. Cela signifie également utiliser des fonctions d’opt-in et d’opt-out et des garanties pour les données des consommateurs.

Dans le principe 3, l’idée est que la vie privée doit trouver une place dans la conception ou à la fois votre architecture et votre entreprise. En d’autres termes, la vie privée est une fonctionnalité essentielle du produit. Vous devez utiliser le cryptage, l’authentification et tester les vulnérabilités de manière régulière. Peu importe que votre processus fonctionne comme il le devrait ; il présente un défaut de conception s’il y a une vulnérabilité de sécurité.

Le principe 4 met en avant qu’il n’y a aucune raison d’avoir peur du Privacy by Design. Si vous sacrifiez la fonctionnalité pour la vie privée, alors vous le faites mal. Il s’agit plutôt d’un changement de culture qui nécessite un équilibre entre la croissance et la sécurité.

Dans le principe de sécurité de bout en bout (n°5), il y a un argument selon lequel la protection de la vie privée suit les données tout au long du cycle de vie, de la collecte à la suppression/archivage. Le cryptage et l’authentification sont la norme à chaque étape, mais vous devez aller plus loin à d’autres étapes. Par exemple, vous ne devez collecter que les données dont vous avez besoin et pour lesquelles vous disposez d’une base juridique. Et lorsque vous avez fini avec les données, vous devez utiliser des méthodes de suppression/destruction conformes au GDPR pour une protection de bout en bout.

Dans l’avant-dernier principe 6 Visibilité et transparence, vous apprenez que la vie privée n’est pas seulement pour la vie privée. Les personnes concernées doivent connaître vos pratiques en matière de confidentialité (et de traitement) et vous devez les partager ouvertement. Ce principe plaide en faveur d’une politique de confidentialité bien rédigée, qui est de toute façon essentielle si vous tombez sous la juridiction du GDPR ou d’une autre loi comme la CalOPPA. Il fait également valoir qu’il doit y avoir un mécanisme permettant aux personnes concernées d’exprimer leurs griefs, de poser des questions et de demander des changements.

Enfin, le principe 7 fait valoir que tout doit rester centré sur l’utilisateur. Cela signifie reconnaître que même si vous avez les données, elles appartiennent au consommateur auprès duquel vous les avez collectées. Votre personne concernée peut accorder et retirer son consentement pour votre utilisation de ses données – et non l’inverse.

Privacy by Design : Pour qui ?

Le Privacy by Design s’adresse à tout le monde, mais il est particulièrement important pour votre entreprise si vous êtes un contrôleur de données qui entre dans le champ d’application du GDPR.

Le GDPR embrasse et nomme le Privacy by Design à l’article 25. Cependant, la législation ne nomme pas les mesures exactes à prendre au-delà de caractéristiques comme la pseudonymisation ou le cryptage et l’anonymisation. Au lieu de cela, le GDPR veut que les caractéristiques de confidentialité soient raisonnables et appropriées à la fois aux processus que vous utilisez et aux données que vous collectez.

L’article 25(2) dit explicitement:

« Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour que, par défaut, seules les données à caractère personnel qui sont nécessaires à chaque finalité spécifique du traitement soient traitées. »

L’article 25 renvoie ensuite à l’article 42 et le décrit les mesures de certification pour plus de clarté sur la conformité.

Lors de sa publication, le GDPR n’incluait pas de clarté sur ce que seraient les mesures de certification et qui sont les organismes de certification. En février 2019, la Commission européenne a publié l’étude sur les articles 42 et 43 (organismes de certification). Vous pouvez lire le rapport complet ici.

Et si le GDPR ne s’applique pas à mon entreprise ?

Même si vous ne vous conformerez pas ou ne devez pas vous conformer au GDPR, le Privacy by Design reste une bonne idée pour votre entreprise.

La mise en œuvre du Privacy by Design reflète une compréhension de la valeur des informations personnelles tant pour votre entreprise que pour vos clients. Elle reconnaît que la vie privée et le contrôle personnel sur les données sont une liberté importante, et c’est une liberté que la loi non seulement reflète de plus en plus, mais aussi que vous devez faire respecter par vous-même au sein du marché.

Si vous pensez que les gens ne sont pas si préoccupés par la vie privée des consommateurs, détrompez-vous. Un sondage réalisé par ExpressVPN a révélé que 71 % des personnes s’inquiètent de la façon dont les spécialistes du marketing collectent et utilisent leurs données.

Et 68 % des internautes américains ont déclaré qu’ils soutiendraient une réglementation de type GDPR aux États-Unis.

Approcher la confidentialité dans une perspective de réflexion sur la conception garantit qu’elle fait partie intégrante de vos opérations, de la planification à l’exécution. Elle vous permet de préparer votre entreprise à l’avenir, tant du point de vue des clients que de la réglementation.

Comment mettre en œuvre la protection de la vie privée dès la conception : Listes de contrôle de l’article 25

L’article 25 est notoirement vague, mais la rigueur est toujours importante à la fois pour se protéger des menaces et des amendes GDPR. Que vous gériez un site web, une application ou un produit SaaS, le Privacy by Design doit se produire :

• Au stade de la conception
• Pendant tout son cycle de vie
• Entre l’engagement de bout en bout
• Après l’engagement
• Après la fermeture de votre site/application

Le GDPR demande des  » mesures techniques et organisationnelles  » comme le cryptage et la pseudonymisation, mais ce n’est pas le début et la fin du Privacy by Design. Malheureusement, le GDPR lui-même ne fournit pas de liste de contrôle. Vous devez poser vos propres questions et fournir vos propres réponses avec peu de directives de la loi ou de ses considérants.

Une façon utile de décomposer la mise en œuvre du Privacy by Design est de la suivre en trois morceaux : les systèmes, les processus et la gestion des risques.

Liste de contrôle des systèmes

Le Privacy by Design commence par les systèmes en place. Parce qu’elle commence par le haut, c’est là que votre liste commence.

Pour intégrer la confidentialité dans vos systèmes, vous devriez commencer par les points suivants (au minimum) :

• Avoir un engagement organisationnel documenté envers les normes de protection des données (y compris dans la culture d’entreprise, les pratiques commerciales et les services commerciaux)
• Nommer un responsable de la protection des données (DPO), le cas échéant, ou faire appel à un conseiller en protection des données (cas non-GDPR)
• Mettre en place un cadre de protection des données (y compris le cryptage et l’anonymisation)
• Créer et documenter un système d’enregistrement des activités de traitement
• Identifier un système de gestion des risques (y compris la gestion de la conformité)
• Mettre à jour la formation à la protection de la vie privée pour les employés qui traitent des données personnelles (tant pour les clients que pour les autres employés)
• Utiliser l’autoévaluation pour auditer et surveiller la mise en œuvre des systèmes documentés ci-dessus
• Établir des mesures de sécurité utilisées pour éviter les incidents et les violations

En suivant cette liste de contrôle, vous serez mieux préparé à concevoir ensuite vos processus de données.

Liste de contrôle des processus

La plus grande partie de votre travail de conformité au Privacy by Design et au GDPR se produit dans la section des processus, mais cela ne fonctionne pas sans commencer d’abord dans vos systèmes.

Les éléments de votre liste comprennent :

• Allocation des responsabilités de gatekeeping (informatique, juridique, approvisionnement, etc.)
• Identifier les risques liés à la protection de la vie privée tout au long de vos processus
• Documenter votre traitement des données (en utilisant le système de tenue de registres conçu dans la liste de contrôle des systèmes)
• Utiliser des DPIA, des évaluations des risques et de la conformité avant de collecter des données pour les utiliser ou les stocker
• Ajouter des contrôles de la protection de la vie privée, comme un centre de protection de la vie privée, qui permettent aux personnes concernées d’accéder à leurs données personnelles selon leurs conditions
• Mise en œuvre des mesures de la liste de contrôle des systèmes ci-dessus

Liste de contrôle de la gestion des risques

Même si vous intégrez la protection de la vie privée dans la conception de vos processus, vous devez toujours gérer les risques tout au long du cycle de vie des données. La gestion des risques commence au niveau des systèmes et se poursuit dans le traitement.

Vous devriez être en mesure de :

• Décrire la finalité du traitement (base juridique)
• Identifier les mesures qui empêchent que les données soient traitées à des fins autres que celles mentionnées ci-dessus
• Surveiller les mesures de minimisation des données et mettre en œuvre les contrôles appropriés (minimisation supplémentaire, anonymisation, et pseudonymisation)
• Identifier les mesures utilisées pour garantir l’exactitude des données
• Nommer et documenter les personnes et les équipes ayant accès aux données
• Souligner les contrôles de l’accès aux données
• Créer des accords de traitement des données (DPA) et les passer en revue avec chaque tiersprocesseur tiers
• Surveiller les pratiques de sécurité mises en œuvre
• Identifier la source d’information et la notification aux personnes concernées du traitement des données
• Décrire le processus suivi en cas de violation de la sécurité et des données (suivant les règles de notification du GDPR)
• Mettre en œuvre les mesures des listes de contrôle des systèmes et des processus ci-dessus

Se souvenir des principes de l’article 25 du GDPR lors de l’application des listes de contrôle.

L’article 25(1) comprend les obligations et limitations suivantes à prendre en compte :

• État de l’art (n’oubliez pas que cela change)
• Coût de la mise en œuvre
• Nature, portée, contexte et finalités du traitement
• Risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques
• Mesures techniques et organisationnelles appropriées

Tous ces éléments contribuent aux meilleures pratiques en matière de Privacy by Design sans les rendre inaccessibles pour les PME et ceux qui ne prennent pas part à des activités de traitement comportant des risques importants.

En d’autres termes, vous n’avez pas besoin de dépenser des millions dans un système de sécurité pour collecter uniquement des adresses électroniques et envoyer une newsletter. Votre pratique doit être adaptée à la nature, à la portée, au contexte, aux objectifs et aux risques de l’envoi d’une newsletter. Si vous êtes la Deutschebank, alors c’est une autre histoire.

Le Privacy by Design est une meilleure pratique

Que vous ayez besoin ou non de vous conformer au GDPR, le Privacy by Design est désormais considéré comme une meilleure pratique pour toutes les organisations qui s’engagent dans le traitement des données, quelle que soit leur taille.

Le Privacy by Design signifie prendre en compte la vie privée dès le début d’un projet et l’intégrer dans vos systèmes et opérations. Il ne s’agit pas d’une pratique ou d’un outil de sécurité à ajouter ultérieurement. Bien faire les choses signifie encourager une culture organisationnelle dédiée à la reconnaissance et au respect de la valeur des données personnelles tant pour votre entreprise que pour vos clients.

Les listes de contrôle ci-dessus vous aideront à mettre en œuvre le Privacy by Design dans votre entreprise. Mais n’oubliez pas que le GDPR veut également que vous preniez en compte des questions telles que le coût de la mise en œuvre, la nature et la portée du traitement, et les risques auxquels sont exposés vos clients en cas de violation.

Selon le GDPR, le Privacy by Design est réalisable pour toutes les entreprises, il n’y a donc aucune excuse pour ne pas commencer.