Eliott Mourier, Ph.D, Data Privacy Senior Consultant & GDPR Offer Manager de Micropole France
Le considérant n°78 du règlement, qui parle plutôt de " protection des données dès la conception et par défaut ", définit la notion de la manière suivante :
" Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous- traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics. "
Il s'agit donc pour les organisations de tous horizons de s'assurer de la bonne prise en compte des principes et exigences posés par le règlement dès l'initialisation des projets et non plus la veille de l'ouverture au public ou de la mise en production, comme c'était trop souvent le cas jusqu'à maintenant. Le Privacy by Design trouve ainsi toute sa place dans le changement paradigmatique opéré par le GDPR, qui fait basculer la protection des données personnelles d'une logique déclarative à une logique de responsabilisation continue.
Toutefois, comme trop souvent avec le GDPR, le texte ne nous fournit pas d'éléments plus précis et opérationnels quant à la mise en œuvre attendue de ce principe dès mai prochain. Il faut, pour cela, faire la généalogie du concept de " Privacy by Design ", traverser l'Atlantique et se plonger dans les travaux d'Ann Cavoukian, préposée à la protection de données de l'état d'Ontario au Canada. Dans un document de référence de 2012 intitulé " Operationalizing Privacy by Design : A guide to Implementing Strong Privacy Practices ", l'auteure synthétise 20 ans de travaux sur le sujet en 7 principes fondamentaux, qui nous aident à y voir plus clair :
I. Proactivité plutôt que réactivité, prévention plutôt que remédiation
II. La protection de la vie privée configurée par défaut
III. La protection de la vie privée ancrée dans la conception des projets
IV. Considérer la protection de la vie privée avec une approche "gagnant-gagnant"
V. Sécurisation de bout-en-bout
VI. Visibilité et transparence
VII. Respect des utilisateurs, approche centrée sur l'utilisateur
" Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous- traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics. "
Il s'agit donc pour les organisations de tous horizons de s'assurer de la bonne prise en compte des principes et exigences posés par le règlement dès l'initialisation des projets et non plus la veille de l'ouverture au public ou de la mise en production, comme c'était trop souvent le cas jusqu'à maintenant. Le Privacy by Design trouve ainsi toute sa place dans le changement paradigmatique opéré par le GDPR, qui fait basculer la protection des données personnelles d'une logique déclarative à une logique de responsabilisation continue.
Toutefois, comme trop souvent avec le GDPR, le texte ne nous fournit pas d'éléments plus précis et opérationnels quant à la mise en œuvre attendue de ce principe dès mai prochain. Il faut, pour cela, faire la généalogie du concept de " Privacy by Design ", traverser l'Atlantique et se plonger dans les travaux d'Ann Cavoukian, préposée à la protection de données de l'état d'Ontario au Canada. Dans un document de référence de 2012 intitulé " Operationalizing Privacy by Design : A guide to Implementing Strong Privacy Practices ", l'auteure synthétise 20 ans de travaux sur le sujet en 7 principes fondamentaux, qui nous aident à y voir plus clair :
I. Proactivité plutôt que réactivité, prévention plutôt que remédiation
II. La protection de la vie privée configurée par défaut
III. La protection de la vie privée ancrée dans la conception des projets
IV. Considérer la protection de la vie privée avec une approche "gagnant-gagnant"
V. Sécurisation de bout-en-bout
VI. Visibilité et transparence
VII. Respect des utilisateurs, approche centrée sur l'utilisateur
Des principes de bon sens, mais qui doivent être complétés d'indications plus concrètes pour pouvoir se matérialiser dans l'entreprise comme l'attend le GDPR. Ainsi, la bonne méthode pour réaliser des audits clients est d'aborder le Privacy by Design and by Default à travers une grille de lecture fondée sur onze exigences opérationnelles :
1. Licéité, loyauté et transparence des traitements
2. Limitation des finalités des traitements
3. Minimisation des données
4. Exactitude des données
5. Limitation de la conservation des données
6. Intégrité et confidentialité des données
7. Catégories particulières de données personnelles (données dîtes " sensibles ")
8. Transferts de données hors EEE
9. Sous-traitance et partenariats
10. Prise en compte des droits des personnes (droit d'accès, rectification, effacement, opposition, portabilité, etc.)
11. Accountability & Traçabilité
L'intégration de ces principes & exigences dans la genèse de tout projet, de toute solution technique (notamment dans la modélisation des bases de données), de tout produit ou encore de tout process métier, nécessite un effort conséquent de sensibilisation et de formation des acteurs, ainsi que la mise en place d'une gouvernance et de process dédiés. Au milieu de la nébuleuse d'exigences définies par le GDPR, nul doute que la capacité des entreprises à démontrer l'intégration formalisée du Privacy by Design and by Default dans la philosophie et la mécanique globale de l'entreprise constituera, aux yeux du régulateur, un élément décisif dans son appréciation de votre niveau de conformité. Pour toutes les (trop nombreuses) organisations qui ont jusqu'à maintenant opté pour la politique de l'autruche, il y a désormais urgence à se saisir du sujet.
Biographie de Eliott Mourier, Ph.D, Data Privacy Senior Consultant & GDPR Offer Manager de Micropole France
Sensibilisé dès son doctorat en sciences sociales à l'importance de la qualité des données et à la nécessité de leur bonne gouvernance, Eliott Mourier a rejoint Micropole en 2015 où il assume des missions de gestion de projet et de conseil en Master Data Management / Data integration / Data Quality dans les secteurs de l'assurance, de la pharma, de l'environnement/énergie ou encore pour le compte d'établissement publics. Il est également en charge de l'offre GDPR Compliance Assessment.
1. Licéité, loyauté et transparence des traitements
2. Limitation des finalités des traitements
3. Minimisation des données
4. Exactitude des données
5. Limitation de la conservation des données
6. Intégrité et confidentialité des données
7. Catégories particulières de données personnelles (données dîtes " sensibles ")
8. Transferts de données hors EEE
9. Sous-traitance et partenariats
10. Prise en compte des droits des personnes (droit d'accès, rectification, effacement, opposition, portabilité, etc.)
11. Accountability & Traçabilité
L'intégration de ces principes & exigences dans la genèse de tout projet, de toute solution technique (notamment dans la modélisation des bases de données), de tout produit ou encore de tout process métier, nécessite un effort conséquent de sensibilisation et de formation des acteurs, ainsi que la mise en place d'une gouvernance et de process dédiés. Au milieu de la nébuleuse d'exigences définies par le GDPR, nul doute que la capacité des entreprises à démontrer l'intégration formalisée du Privacy by Design and by Default dans la philosophie et la mécanique globale de l'entreprise constituera, aux yeux du régulateur, un élément décisif dans son appréciation de votre niveau de conformité. Pour toutes les (trop nombreuses) organisations qui ont jusqu'à maintenant opté pour la politique de l'autruche, il y a désormais urgence à se saisir du sujet.
Biographie de Eliott Mourier, Ph.D, Data Privacy Senior Consultant & GDPR Offer Manager de Micropole France
Sensibilisé dès son doctorat en sciences sociales à l'importance de la qualité des données et à la nécessité de leur bonne gouvernance, Eliott Mourier a rejoint Micropole en 2015 où il assume des missions de gestion de projet et de conseil en Master Data Management / Data integration / Data Quality dans les secteurs de l'assurance, de la pharma, de l'environnement/énergie ou encore pour le compte d'établissement publics. Il est également en charge de l'offre GDPR Compliance Assessment.
Autres articles
-
Thomas Gendulphe, 43 ans, est nommé General Manager Suisse et Espagne de Micropole
-
Grant Thornton et Micropole présentent les résultats de leur enquête « Quel avenir pour le contrôle de gestion ? »
-
Micropole annonce la nomination de Muriel Huriot au poste de Directrice de la Transformation et de l’Expérience Clients
-
Podcast: Pauline Guillet a remporté le Datathon mondial organisé par Qlik sur le réchauffement climatique
-
Micropole lance le Data Thinking pour accompagner les entreprises dans leur transformation « data driven »
