Le privacy by design : pourquoi vous allez tous être obligés de vous y mettre


Le privacy by design… cette notion n’aura bientôt plus de secret pour tout entrepreneur du numérique, qui devra adapter ces pratiques en mettant en oeuvre cette obligation à chaque étape de son oeuvre entrepreneuriale. Cette notion pourrait se traduire par « prise en compte de la vie privée dès la conception » ou « protection intégrée de la vie privée » Le concept de privacy by design a été développé dans les années 1990 au Canada par Ann Cavoukian (commissaire à l’Information et à la Protection de la vie privée de l’Ontario) dans les années 90. Selon Mme Cavoukian, « en raison de la complexité et de l’interdépendance grandissantes des technologies de l’information, il ne faut rien de moins qu’intégrer la protection de la vie privée dès la conception des systèmes » Le privacy by design, c’est donc adapter chacune des étapes de la création de son projet de manière à ce qu’il respecte la vie privée des utilisateurs et utilisatrices de votre produit. Cette philosophie est désormais une obligation, prévue dans le 46e considérant de la directive nº 95/46/CE selon lequel « la protection des droits et libertés des personnes concernées à l’égard du traitement de données à caractère personnel exige que des mesures techniques et d’organisation appropriées soient prises tant au moment de la conception qu’à celui de la mise en œuvre du traitement (...) ». Penser privacy by design, c’est avoir pour ligne directrice la protection de la vie privée : ce concept se développe autour de sept principes fondateurs. 1. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques. L’utilisateur de votre application, de votre système doit avoir la main mise sur les données qu’il vous transmet. Par exemple par la mise en place d’un dashboard personnel lui permettant de gérer les données qu’il accepte de transmettre, à qui, dans quelles conditions et de savoir précisément comment et de quelle manière seront gérer ces données. 2. La transparence

Toutes les informations relatives à la vie privée doivent être clairement accessible et compréhensible, et formulée en termes simples et clairs. Cette information doit être adapté à son audience : ainsi, les enfants devront recevoir encore plus simple et pédagogique concernant leur données personnelles. Selon criteo (Judicaël Phan), avoir été plus transparent avec ses data-subjects (utilisateurs) a permis d’augmenter le chiffre d’affaire. Regagner la confiance des internautes en faisant preuve de plus de transparence permet de les fidéliser. 3. Prévoir les risque en amont : prendre les mesures proactives et non réactives Selon Mme Cavoukian, il faut « prévoir et (...) prévenir les incidents d’atteinte à la vie privée avant qu’ils se produisent », qu’ils soient à long ou à moyen terme. Le Parlement Européen précise en effet que « la protection des données et de la vie privée devrait être introduite dès que possible dans le cycle de vie des nouveaux développements technologiques, assurant aux citoyens un environnement convivial » Prévoir les risques en amont, c’est donc réaliser des études d’impact, afin de mesurer les risques auquel seront exposés l’utilisateur. Pour un exemple concret (donné par Emilie Marin - responsable juridique AXA) : si vous avez une application qui propose des conseils de nutrition et d’habitude de sommeil en fonction de vos données biométriques, et que cette application vous donne des conseils éronés… qui auront un impact négatif sur la santé d’un utilisateur, il vous faudra prendre des assurances nécessaire pour couvrir ces dommages. 4. Assurer la sécurité des données Vous devez mettre en place des système permettant d’assurer la sécurité des données, et informer le data subject sur l’existence de ces systèmes. Ce principe implique notamment la tenue d’une documentation et la mise en place de mesures qui doivent être réexaminées et actualisées si nécessaire. La contrainte de la mise en oeuvre de ce principe est renforcée par un alourdissement des sanctions prévues par le Règlement 2016/679 (du Parlement européen et du Conseil du 27 avril 2016 )dont le plafond est fixé à 10 000 000 € et 2 % du chiffre d'affaires mondial.

5. Assurer la protection implicite de la vie privée Autrement dit, vous devez tout mettre en place pour assurer au mieux la sécurité des données de l’utilisateur, sans que ce dernier ait à s’en soucier, ou à réaliser des manipulations spécifiques pour renforcer cette sécurité. 6. Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle Cette exigence vise à concilier les intérêts des utilisateurs et ceux de la société, étant rappelé qu'elle ne doit pas non plus conduire à un frein économique pour l'entreprise. Autrement dit, il vous faudra prouver que l’exploitation des données permet une exploitation de la société en conformité avec les intérêts des consommateurs. A vous de respecter ce fragile équilibre en faisant en sorte que vos intérêts soient convergent et non divergent. 7. Respecter la vie privée des utilisateurs. Bien évidemment, il vous faudra garder en tête dans l’application de tous ces principes que votre objectif premier est de garantir la vie privée des utilisateurs. Concrètement, comme le principe du Privacy by Design peut leur imposer de respecter les exigences suivantes (comme le rappellent Matthieu Dary et Leila Benaissa):

- minimiser l'utilisation des données personnelles en se limitant aux données strictement nécessaires à l'utilisation de la technologie ;

- limiter le volume des données traitées ;

- limiter la durée de conservation des données ;

- limiter les destinataires des données ;

- privilégier l'anonymisation ou la pseudonymisation des données ;

- intégrer dans les dispositifs technologiques un niveau de sécurité très élevé ;

- éviter toute interconnexion et croisement de données ;

- assurer une formation du personnel de l'entreprise ;

- documenter l'ensemble des mesures prises pour assurer le respect de ces différentes exigences.

Manifestement, le respect de ces contraintes est assez conceptuel et sa mise en oeuvre pratique va s'avérer peu aisée. Vous l’aurez compris, le concept de privacy by design vous impose de coopérer avec le service juridique tout au long de la création de votre projet. Je ne saurais trop vous conseiller la lecture de l’infographie réalisée par Margaret Hagan, qui explique très bien, et concrètement ce qu’implique le privacy by design.

#donnéespersonnelles #privacybydesign #sécuritédesdonnées #vieprivée #internet

Featured Posts
Recent Posts
Archive
Search By Tags