Tout savoir sur le «Privacy by design»
Dans cet article, nous allons parler de Privacy By Design, un principe de protection de données à caractère personnel à intégrer dès le début de projets IT (applications, produits, services). C’est un principe relativement récent puisqu’il est à appliquer depuis la fin du mois de mai 2018 pour toutes les entreprises traitant de données personnelles et dont l’utilisation peut identifier une personne, que ce soit de manière directe ou indirecte.
Le concept de Privacy by design, c’est quoi ?
L’objectif de ce concept est de pouvoir assurer aux usagers que la protection de la vie privée sera intégrée, dès la conception, dans les nouvelles applications commerciales et technologiques.
Qu’est-ce que ça veut dire, concrètement ?
Désormais, les entreprises sont dans l’obligation d’intégrer cette règle de protection des données à caractère personnel dès le début des projets qui implique un traitement de données dans une structure. L’entreprise doit donc prendre les mesures nécessaires en amont du projet, tant sur le plan technique qu’organisationnel, afin de traiter les informations personnelles correctement. Les responsables et entreprises du traitement de données ont pour objectif d’offrir à leurs utilisateurs une protection de haut niveau, à chaque nouvelle application, produit ou service qui traite des données à caractère personnel.
À quoi ça sert?
Le principe réside avant tout en une « solution » aux problèmes qu’engendre le Big Data ainsi que la fuite de données à cause de l’automatisation de la collecte de données personnelles. En effet, la collecte de données personnelles massives est un enjeu majeur aujourd’hui, mais surtout un souci de taille pour la vie privée. Pour les entreprises, c’est une forme de richesse mais qu’il faut manier avec précaution, puisqu’elle doit être conformes aux attentes des clients.
C’est au centre du Règlement Général pour la Protection des Données (RGPD), que l’on retrouve le principe de Privacy By Design. L’idée est de privilégier l’économie numérique en créant un environnement de confiance pour les utilisateurs. Cette confiance doit donc passer par un renforcement de la protection et de la sécurité des données de tous les utilisateurs. C’est l’objet de ce principe de « Privacy By Design ».
Les 7 principes du Privacy By Design
Le « Privacy By Design » s’articule autour de 7 principes fondamentaux:
-
La mise en place de mesures préventives, proactives et non correctives,
-
Un principe de protection, par défaut, des données personnelles,
-
La prise en compte de la protection de la vie privée des utilisateurs,
-
Pour les utilisateurs dont les données personnelles sont ou ont été collectées, la sécurité et la protection de leur vie privée,
-
La transparence,
-
Le respect de la vie privée des personnes concernées,
-
Une protection optimale.
Privacy By Design et Privacy By Default
Le principe de « Privacy By Design » est lié au principe de « Privacy By Default » pour lequel les entreprises qui traite de données personnelles doivent garantir par défaut un niveau de protection de données maximal.
L’utilisation du principe de « Privacy By Default » et des technologies d’amélioration de la confidentialité (PET* : Privacy Enhancing Technologies ») peuvent jouer un rôle important afin de responsabiliser davantage les entreprises pour qu’elles mettent en place des politiques et mécanismes efficaces de respect du règlement en termes de protection des données.
* Les PETs sont des mécanismes, des outils et applications intégrés aux services en ligne permettant aux utilisateurs de protéger leurs données personnelles qui peuvent être identifiées et également de contrôler son usage. Ils permettent particulièrement aux utilisateurs de contrôler toutes les données qu’ils partagent, de les minimiser ou encore de les rendre anonyme. Il est possible dans certains cas de pouvoir négocier les termes et conditions de traitement des données des usagers par les services en lignes ou par les applications.
Les risques face à une négligence du principe de « Privacy By Design »
En cas de négligence face aux questions de « Privacy By Design », il peut y avoir des risques et donc des conséquences lourdes pour les entreprises, à savoir :
- Des poursuites judiciaires
- Des vols de données professionnelles
- Une perte de parts de marchés
- Des atteintes à l’image de marque
Il est donc important de prendre au sérieux le principe de « Privacy By Design », étant donné qu’une prise en compte optimale de ce principe et de ces questions peut très largement améliorer la réputation de la marque et de l’entreprise, donner confiance aux clients…
Les avantages du principe de « Privacy By Design »
Le principe de « Privacy By Design » a de nombreux avantages dans le développement d’une application ou d’un service.
Pour l’utilisateur, les avantages sont tels que :
-
La réduction des risques liés à un usage inadéquat des informations personnelles
-
Une forte confiance en l’usage des services proposés
Pour l’entreprise, les avantages sont tels que :
-
La réduction des risques liés à l’usage inadéquat des données personnelles
-
La réduction des risques dû à sa responsabilité
-
La capacité à fournir des services en conformité avec la législation
-
Des avantages compétitifs et réduction des coûts liés au développement des services
-
La réduction des coûts de développement des services par l’intégration du principe de « Privacy By Design » dès le début dans la gestion du projet
-
La réduction des risques juridiques en cas de manquement au règlement
En application sur vos projets
Appliquer ce principe de « Privacy By Design » permet alors de mettre en place des mesures préventives afin de limiter en amont et dès le commencement d’un projet les risques potentiels de violation de données personnelles. Les mesures liées à ce principe doivent empêcher la collecte de données personnelles qui ont lieux sans raison légitime et, de ce fait, impliquer la suppression de données personnelles dans une base de données s’il n’est pas nécessaire de les stocker pour après.
Le plus gros challenge reste l’application de ces principes de protection de données tout en préservant les enjeux business de ce nouveau projet. Cependant, dans les nouveaux projets de ce type, il faut impérativement prendre en compte la protection des données à chaque étape et avancée du projet en question.
Ce qui est primordial, c’est de penser à adopter ces méthodes et techniques en amont et dès le début dans le but de protéger dans les règles et comme il le faut, les données personnelles comme le demande le RGPD.
Une étude d’interfaces de consentement est nécessaire mais pour intégrer le principe de « Privacy By Design », les mesures vont beaucoup plus loin. Il faut une implication de la part de chaque membres et services de l’entreprise et à tous niveaux hiérarchiques.