Privacy by design : tout ce qu’il faut savoir

En tant qu’entrepreneur, vous devez respecter la législation en matière de protection des données à caractère personnel et vous conformer aux formalités requises auprès de la Commission nationale de l'informatique et des libertés (CNIL). À défaut, de lourdes sanctions s’appliquent, sans compter le risque pour votre réputation. En vertu du Règlement Général pour la Protection des Données (RGPD), vous devez notamment assurer la protection des données collectées dès la conception. On parle de Privacy by Design.

Mais de quoi s’agit-il exactement ? Quelles différences avec le Privacy by default ? Quels sont les avantages du Privacy by Design RGPD ? Quels sont les 7 grands principes qui s’y rattachent ? Et enfin, comment adopter une démarche Privacy by design au sein de votre entreprise ? Découvrez toutes les réponses à vos questions avec Legalstart !

Qu’est-ce que le Privacy by design ?

La définition du Privacy by design est prévue par l’article 25 du RGPD. Pour les chefs d’entreprises, il est indispensable de bien comprendre de quoi il s’agit et d’appréhender ses applications concrètes.

Privacy by design : définition

Le principe de Privacy by Design (PbD) consiste à placer la protection des données personnelles et de la vie privée comme priorité absolue, dès la conception d’un projet. Cette question doit donc faire l’objet d’une réflexion a priori au sein de votre entreprise.

Qu’implique le Privacy by Design ?

Le Privacy by Design implique plusieurs aspects :

la mise en place d’une protection de la vie privée par défaut ;
la minimisation de la collecte de données au strict nécessaire pour atteindre les objectifs du service proposé ;
l'utilisation de techniques de pseudonymisation, de chiffrement et d'anonymisation pour protéger les données collectées ;
la transparence envers les utilisateurs sur la collecte, l'utilisation et la conservation de leurs données à caractère personnel ;
la mise en place de mécanismes permettant aux utilisateurs de supprimer et de rectifier leurs données ;
le développement de protocoles visant à assurer la sécurité des données (sauvegarde et récupération notamment en cas d’incident) ;
l’élaboration de procédures de notification de violation de données.

Privacy by design : exemple

Pour bien comprendre les contours du Privacy by Design, prenons un exemple concret.

Votre entreprise développe une application mobile utilisant des technologies de géolocalisation pour fournir des services personnalisés à ses clients. La mise en place du Privacy by Design implique, dans un premier temps, de renoncer au stockage des données collectées sur un serveur central distant. Un algorithme fonctionnant directement sur les appareils des utilisateurs permet d’effectuer les calculs nécessaires au service tout en maintenant les informations sur l’appareil des utilisateurs. Cette solution permet de protéger leurs données privées contre les failles de sécurité pouvant affecter un serveur centralisé.

En parallèle, l’application doit permettre aux clients de désactiver la géolocalisation pour certains services ou de supprimer les données de géolocalisation stockées. Ils doivent également être informés lors de son téléchargement de la collecte, de l'utilisation et de la conservation éventuelle des informations de géolocalisation.

En conclusion, l’application mobile parvient à fournir des services personnalisés aux utilisateurs tout en respectant leur vie privée.

Privacy by design et Privacy by default : quelles différences ?

En réalité, il ne s’agit pas de deux concepts opposés. Privacy by design et Privacy by default sont, en effet, intimement liés.

Le Privacy by default est une étape supplémentaire du Privacy by Design. Rappelons que ce dernier implique la prise en compte de la vie privée dès la conception d’un projet. Le Privacy by default impose que les données de l’utilisateur soient protégées sans qu’aucune intervention de sa part ne soit nécessaire (case à cocher, paramétrage, validation d’un formulaire, etc.).

Quels sont les avantages du Privacy by design ?

À première vue, la consécration du Privacy by Design semble apporter de nombreuses contraintes supplémentaires aux entreprises, notamment d’un point de vue technique. Pourtant, une fois mise en place, il présente un certain nombre d’avantages :

l’assurance que votre projet est en conformité avec la loi, dès le départ ;
la réduction des coûts de stockage et d’une éventuelle mise en conformité postérieure ;
une meilleure gestion de votre projet : en omettant de prendre en compte le Privacy by Design vous risquez de connaître des déconvenues par la suite. Votre projet pourrait prendre du retard, voire être purement et simplement annulé ;
une limitation des risques juridiques : le non-respect du RGPD peut conduire à des poursuites judiciaires et des sanctions de la part de la CNIL ;
une commercialisation plus efficace de votre produit : les consommateurs apprécient la transparence. Le Privacy by Design et ses implications favorisent donc le consentement des consommateurs. Il renforce leur confiance et leur loyauté ;
une amélioration de la réputation de la marque.

Les 7 principes du Privacy by design

Comme le précise le RGPD, le Privacy by design repose sur 7 principes fondamentaux. Tous les dirigeants et acteurs de l’entreprise doivent les connaître, les comprendre et intégrer dans leurs projets quotidiens.

La proactivité et la prévention, principe fondamental du Privacy by design

L’entreprise ne doit pas agir à contrecoup, par des mesures correctives, en réponse à une violation de la vie privée. Au contraire, elle doit intervenir en aval, avant qu’un incident se produise, en mettant en place des mesures préventives.

Une protection par défaut

Le Privacy by default est bien un des principes sur lesquels repose le Privacy by Design. L’utilisateur du service ou du produit doit bénéficier d’une protection automatique de sa vie privée. En revanche, il peut décider de lui-même d’offrir à l’entreprise davantage de marge de manœuvre concernant ses données personnelles. Ce choix doit toutefois être effectué a posteriori, une fois la collecte réalisée.

La conformité des traitements de données dans le Privacy Design

Lors de la conception de votre site web ou d’une application, la question de la conformité des données personnelles avec la loi doit être au cœur de votre réflexion. Cela implique des processus aussi bien techniques qu’organisationnels, parfaitement intégrés à la conception de votre projet.

La sécurité des données à caractère personnel

Celle-ci doit être assurée tout au long du cycle de vie d'un produit ou du service, mais également pendant la durée légale de conservation des données. En anglais, on parle de End-to-End Security.

Équilibre entre vie privée et fonctionnalité

Ce principe vise à s’assurer que les mesures de protection de la vie privée ne soient pas uniquement une contrainte pour les entreprises. Elles doivent, au contraire, être perçues comme une plus-value pour leurs projets, en évitant de compromettre leur fonctionnalités. L'objectif reste de concilier vie privée et sécurité des données, tout en valorisant cette approche auprès des consommateurs.

Visibilité et transparence

L’entreprise doit afficher de façon transparente sa politique de collecte et de conservation des données. Pour cela, elle doit impérativement mettre en place une politique de confidentialité.

Le respect des utilisateurs

L’entreprise doit s’assurer que l’ensemble de ses systèmes permettent aux utilisateurs de contrôler leurs données. Ils doivent donc avoir accès à des outils leur permettant de vérifier, supprimer et corriger les données traitées qui les concernent. Pour résumer, l’utilisateur doit être partie prenante au processus.

Comment mettre en place le Privacy by design au sein de votre entreprise ?

Pour une prise en compte de la vie privée dès la conception des projets, voici la check list Privacy by Design :

Évaluation de la conformité de votre entreprise avec les exigences légales et réglementaires en matière de protection des données à caractère personnel et de vie privée. Pour réaliser cet audit, le registre des traitements s’avère un outil précieux. Une étude d’impact sur la vie privée permet d’évaluer le niveau de protection actuelle pour les traitements des données les plus sensibles.
Identification des failles et définition des exigences en matière de protection de la vie privée.
Mesures d’intégration du Privacy by Design dans le processus de conception : il est nécessaire de définir comment la vie privée sera prise en compte et comment mettre en place les différentes mesures (pseudonymisation, minimisation de la collecte, chiffrement des données, etc.).
Élaboration du rapport Privacy by design pour la CNIL établi par le délégué à la protection des données (DPO) : il permet de formaliser l’ensemble des processus interne et de vérifier la mise en œuvre du PbD.
Surveillance et évaluation régulière des systèmes et des processus afin de s’assurer de la pérennité de cette conformité : des mises à jour peuvent être nécessaires pour prendre en compte les évolutions législatives.
Sensibilisation des employés de l’entreprise : il s’agit de mettre en place une véritable culture de protection de la vie privée. Le DPO joue ici un rôle essentiel pour promouvoir le Privacy by Design au sein des équipes. Cela implique, par ailleurs, une bonne communication entre les équipes marketing et les concepteurs (informaticiens, programmeurs, etc.).

FAQ

Quand mettre en place le Privacy by design ?

Le Privacy by design selon la CNIL implique de mettre en œuvre, au sein de l’entreprise, les règles établies par le RGPD dès le début d'un projet. Il intervient donc le plus tôt possible dans sa conception, lors de la phase de réflexion.

Qui met en place le Privacy by Design ?

Le responsable du traitement, c’est-à-dire le plus souvent l’entreprise à l’origine du produit ou du service, est chargé du Privacy by Design. En pratique, cette mission est confiée au délégué à la protection des données (DPO).

Quelles sont les limites du Privacy by design ?

Le coût de mise en place et la complexité du Privacy by Design sont sans doute les deux limites les plus visibles pour les entreprises. On peut également citer le manque de standardisation internationale et l’évolution rapide des technologies. Ces deux derniers points rendent parfois incertain le respect des 7 principes du Privacy by Design malgré la bonne volonté du responsable du traitement.

Principale source législative et réglementaire :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 - relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).

Qui est concerné par le RGPD : le guide pour comprendre

4 mn
Vous récoltez des informations sur vos clients telles que leurs adresses mail ou leurs noms ? Découvrez qui est concerné par le RGPD !
Lire la suite
RGPD et Association : le guide pour comprendre

5 mn
De multiples obligations relatives au respect du RGPD en association sont à respecter. Nous vous donnons tous les éléments nécessaires pour comprendre.
Lire la suite
Politique de confidentialité en 2024

4 mn
La politique de confidentialité d’un site web est devenue un document incontournable avec l’entrée en vigueur du RGPD. Modèle et exemple de politique de confidentialité.
Lire la suite
RGPD : zoom sur les mentions d'information

4 mn
Vous êtes responsable de traitement ? Découvrez les mentions d'information RGPD à fournir lorsque vous traitez des données à caractère personnel.
Lire la suite
Conformité au RGPD : quelles sont les nouvelles mentions légales ?

3 mn
Quelles sont les mentions légales obligatoires pour mettre un site internet en conformité au RGPD ? Quelles sont les mentions légales RGPD ?
Lire la suite
Conditions générales de vente : tout savoir pour être en conformité avec le RGPD

3 mn
Quelles sont les modifications à faire pour mettre vos conditions générales de ventes en conformité avec le RGPD ? On fait le point.
Lire la suite