Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, implique de nombreuses modifications.
Ce texte supprime notamment les formalités imposées par la loi française et les remplace par un devoir de « compliance » à la charge du responsable de traitement. Ce devoir implique que le responsable de traitement mette en œuvre (et soit à même de le démontrer) les mesures appropriées pour que le traitement soit effectué dans le respect du règlement.
Le règlement induit, dès lors, un changement dans la démarche du responsable de traitement. Tandis qu’actuellement celui-ci se cantonne à effectuer les formalités nécessaires pour pouvoir réaliser son traitement, à l’avenir ces dernières ne seront plus à sa charge. Toutefois, les obligations incombant au responsable de traitement n’en seront pas pour autant amoindries ; au contraire celles-ci seront alourdies. Il devra en effet se montrer proactif dans l’établissement de mesures techniques et organisationnelles permettant d’assurer le respect de la règlementation.
Des justificatifs de la mise en place de telles mesures pourront être demandés par la CNIL. S’agissant des mesures en question, le règlement européen introduit les concepts de « privacy by design » et « privacy by default » en son article 23.
Que recoupent donc ces deux concepts qui ne sont pas réellement si nouveaux ?
I) Privacy by design (protection de la vie privée dès la conception)
Le terme est apparu dans les années 1990 et s’est développé selon l’idée que le respect de la vie privée devait être pris en compte dès la conception d’un projet numérique. Cela implique de prendre en compte, dès la conception de projets numériques destinés à traiter des données personnelles, les exigences en matière de protection de la vie privée et les intégrer aux systèmes informatiques, infrastructures des réseaux et pratiques de l’entreprise. La protection de la vie privée dès la conception doit donc se traduire par des mesures techniques concernant les systèmes et infrastructures conçus mais également organisationnelles concernant les pratiques de l’entreprise en matière de traitement de données. L’article 25, alinéa 1 du règlement dispose, en effet : « Compte tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. »
L’article apporte toutefois une limitation intéressante à cette obligation de protection de la vie privée dès la conception, puisqu’il ne s’agit vraisemblablement que d’une obligation de moyens. En effet, la protection de la vie privée dès la conception est appréciée à la lumière des technologies disponibles et du coût de leur mise en œuvre.
La préposée à la protection des données de l’Etat d’Ontario au Canada, Ann Cavoukian, explique que le concept de « Privacy by Design » repose sur sept principes fondamentaux.
- Il faut prendre des mesures proactives et non réactives. Cela signifie qu’il ne faut pas attendre que les risques se produisent pour proposer des solutions. La « Privacy by Design » n’offre d’ailleurs aucune mesure corrective en cas d’incident.
- Il faut assurer une protection implicite de la vie privée, ce qui signifie que la protection de la vie privée doit être systématiquement maximale. Elle n’est donc pas optionnelle et ne doit pas nécessiter l’intervention de l’utilisateur mais être directement intégrée au système.
- Il faut intégrer la protection de la vie privée dans la conception des systèmes et des pratiques, ce qui implique de l’incorporer dans la conception et l’architecture des systèmes informatiques mais aussi dans les pratiques et la stratégie organisationnelle de l’entreprise.
- Il faut assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle, ce qui implique que le responsable de traitement ne doit pas créer de fausses oppositions entre certains objectifs qui ne s’opposent pas mais sont complémentaires, tels que la sécurité et la protection de la vie privée. La protection de la vie privée doit être envisagée par la responsable de traitement comme une valeur ajoutée à sa technologie et non comme un frein au développement de son activité commerciale.
- Il faut assurer la sécurité de bout en bout pendant toute la période de conservation des renseignements. Ceci implique que les mesures de protection de la vie privée mises en place dans le système informatique dès sa conception, persistent de manière sécurisée durant toute la période de conservation des données.
- Il faut assurer la visibilité et la transparence du système pour les utilisateurs. A ce titre, pour vérifier que celui-ci est conforme à la protection de la vie privée intégrée, une vérification indépendante est nécessaire pour instaurer un climat de confiance entre le responsable de traitement et les personnes dont les données sont traitées.
- Il faut assurer le respect de la vie privée des utilisateurs. Ce principe est relié aux six précédents et impose aux concepteurs de projets numériques de mettre l’intérêt des utilisateurs particuliers au centre de leurs préoccupations en prévoyant notamment, et ainsi qu’il l’a déjà été évoqué ci-dessus, la mise en place de mesures implicites de protection de la vie privée ainsi que des fonctions habilitantes axées sur les utilisateurs.
Conseils : pour se conformer à ce principe, il convient au sein de la direction de l’entreprise de s’engager réellement dans la prévention des atteintes à la vie privée. Plus particulièrement, il convient notamment :
- d’identifier le contexte particulier aux traitements mis en œuvre par le projet ;
- de mettre en place des mesures techniques dans les systèmes informatiques pour empêcher la modification ou la disparition des données ;
- de mettre en place des profils d’habilitation pour empêcher l’accès illégitime aux données ;
- d’établir un référentiel de sécurité incluant notamment : une charte dédiée à l’encadrement de l’utilisation des systèmes d’information de l’entreprise ; le déclenchement régulier et l’analyse de tests d’intrusion ; la mise en place de clauses contractuelles contraignantes imposant entre autres une procédure d’audit dans les contrats de sous-traitance ; la sensibilisation du personnel aux enjeux de sécurité et de confidentialité des données (sessions de formation, rédaction de notes de services, de livres blancs et autres communications internes à l’entreprise) ; une politique de gestion des incidents liés aux systèmes d’information ; une politique d’habilitation ; une politique d’archivage et de conservation des données.
Il est précisé que la CNIL a décidé d’accompagner les responsables de traitement dans la mise en place du principe de « Privacy by design » en publiant en juillet 2015 une version révisée de son guide sur la gestion des risques. Dans ce document, elle préconise d’employer la méthodologie EBIOS permettant d’assurer la sécurité de l’information.
II) Privacy by default (Protection de la vie privée par défaut)
Ce principe est intimement lié au précédent puisqu’il en est la continuité logique. Il vise, en effet, à permettre aux personnes dont les données sont collectées d’obtenir le plus haut niveau de protection possible, à l’instar du principe de « Privacy by design ». Toutefois, si ce dernier vise l’encadrement du traitement on peut dire que le principe de « Privacy by default » concerne plus spécifiquement le traitement lui-même. A ce titre, l’article 25 du règlement prévoit que le responsable de traitement doit mettre en place des mécanismes visant à garantir, par défaut, que :
- seules sont traitées les données nécessaires à chaque finalité du traitement (principe de minimisation) ;
- les données ne sont pas conservées au-delà du minimum nécessaire à ces finalités ;
- les données ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.
Conseils : pour se conformer à ce principe il convient de mettre en place lors de chaque collecte de données à caractère personnel, le plus haut niveau de confidentialité des données collectées au niveau du recueil de consentement de la personne concernée, ce qui se matérialise par :
- la mise en place d’un mécanisme d’obtention du consentement pour chaque traitement effectué ;
- la mise en place d’un mécanisme de recueil du consentement pour chaque destinataire des données.
- la mise en place d’un mécanisme du recueil du consentement pour chaque finalité ;
Pour l’application de ce principe, il convient également de mettre en place :
- des profils d’habilitation pour l’accès aux données ;
- un processus de destruction automatique et systématique des données une fois leur finalité épuisée.