GDPR (22) L’avenir – Privacy by design

13 février 2018

La « protection des données dès la conception » (mieux connue par la dénomination anglaise « privacy by design ») est un beau sujet pour clôturer en beauté notre exploration de la confidentialité des données. Le législateur souhaite en effet que tous les responsables de traitement de données tiennent compte du traitement des données à caractère personnel dès le début, dans leurs futurs projets.

Les auteurs du GDPR partent du principe que nous allons acquérir une espèce de réflexe de protection de la vie privée. Les exigences de la législation deviendront alors une composante naturelle et évidente de l’élaboration d’une application ou de la création d’un site web, mais aussi de l’organisation d’une enquête ou d’une étude scientifique.

Si ce n’est pas nécessaire, il est préférable de ne pas collecter ou traiter de données à caractère personnel. Et s’il y a une bonne raison à leur collecte et leur traitement, nous devons limiter les traitements au minimum strictement nécessaire. Chaque nouvelle initiative devra donc faire l’objet d’un exercice de réflexion.

  • Lors de l’analyse pour une nouvelle application ou lors de la conception d’une base de données, il était peut-être indiqué, auparavant, d’ajouter davantage d’attributs ou de champs à un fichier (« au cas où »). Aujourd’hui, le nombre de données doit être aussi limité que possible, ciblant un objectif spécifique.
  • Il est préférable d’enregistrer immédiatement dans une base de données lorsqu’une donnée particulière est désuète ou dépassée ou ne peut tout simplement plus être conservée. De la sorte, il n’est pas difficile de supprimer systématiquement des données lorsqu’elles ne sont plus nécessaires ou que leur exactitude ne peut plus être garantie.

A l’avenir, une application peut comporter d’office une fonctionnalité visant à garantir les droits des personnes concernées et à en faciliter l’interprétation pratique.

  • Partout où, dans une application, des données à caractère personnel sont demandées à des personnes concernées, il faut aussi que des informations soient disponibles sur le but, la durée du traitement, les risques et les mesures de protection. Une application pour smartphone qui enregistre par exemple les prestations sportives doit, avant la première utilisation, fournir à la personne concernée des informations suffisantes sur les données collectées et stockées en arrière-plan, ainsi que sur les intentions du concepteur de l’application. Cela doit pouvoir être aisément intégré dans l’interface utilisateur des applications.
  • De même, toute personne essayant de récolter des informations sur un site doit fournir d’emblée une information de fond claire sur leur traitement. Cette information doit être fournie à temps. Les différents objectifs du traitement doivent être aussi distincts que possible les uns des autres.
  • À l’avenir, une application devra idéalement comporter une fonctionnalité permettant aux personnes concernées de consulter leurs données et, si la situation le permet, de les corriger, compléter ou supprimer. Ceci n’est évidemment possible que s’il n’y a pas de conflit entre les droits de la personne concernée et d’autres intérêts.

La « protection de la vie privée dès la conception » implique également, dès la conception d’une application, une réflexion quant aux façons de protéger au mieux les données. Vous pouvez par exemple concevoir l’application en recourant systématiquement au cryptage. Un site web peut utiliser des protocoles de cryptage tels que https, l’échange de données peut se faire par des canaux cryptés et avec des fichiers cryptés. Si les données doivent être conservées un certain temps après leur traitement, cela peut également se faire sous forme cryptée, par exemple dans une archive numérique sécurisée. Grâce à ces mesures, le risque diminue que les données deviennent publiques ou tombent entre de mauvaises mains. Si tout cela est envisagé dès la conception, les frais sont bien moins élevés que dans le cas d’adaptations ultérieures. Une mesure pouvant être envisagée dans certains cas est la « pseudonimisation » des données. Comme nous l’avons déjà mentionné, cela implique de supprimer les références directes aux personnes concrètes dans les fichiers. Cela réduit également le risque d’infraction en cas de problème avec un fichier.

Enfin, signalons encore le concept de « privacy by default ». Il signifie que dans toutes les applications où l’utilisateur peut faire des choix visant à éventuellement rendre des données publiques, les partager avec d’autres ou les mettre à disposition pour certaines formes de traitement ou pour une communication ultérieure, les paramètres par défaut doivent toujours être les plus sûrs. Seule une intervention active de l’utilisateur (comme cocher une case ou cliquer sur un bouton pour donner son autorisation) permet de modifier ces paramètres.

Comme vous le voyez, il existe de nombreuses façons de garantir autant que possible la protection de la vie privée, et le GDPR encourage chacun à toujours les appliquer au maximum. La confidentialité des données n’est pas un thème unique pour un projet en cours, que l’on peut oublier ensuite. Il s’agit d’une préoccupation permanente.

L’avenir nous montrera comment les petites et grandes entreprises, les personnes concernées (peut-être encouragées par les organisations de consommateurs ou les syndicats), les autorités de contrôle et l’Union européenne gèreront le GDPR. Les tribunaux devront assurément se pencher sur des litiges complexes. Il est donc difficile de prévoir quelle sera la réponse fournie aux nombreuses questions qui subsistent encore. Toutefois, une chose est sûre : la confidentialité des données est une notion dont il faut tenir compte, et cela ne changera probablement pas.

Nous voilà arrivés au terme de ce blog. Il ne fait aucun doute que de nombreuses occasions se présenteront de donner des nouvelles et conseils, ou de revenir sur des discussions ou des développements intéressants. J’espère avoir contribué, par ces articles, à accorder à la confidentialité des données l’attention qu’elle mérite dans notre société. Au sein de Group Joos, nous mettons en tout cas un point d’honneur à être prêts à traiter les données à caractère personnel de nos clients, de nos personnes de contact, de nos visiteurs et de nos collaborateurs avec tout le respect qu’elles méritent.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING