Confidentialité dès la conception et par défaut
Découvrez ce que la confidentialité par conception et la confidentialité par défaut signifient et comment les appliquer dans Dastra.

Introduction

La confidentialité dès la conception ("privacy by design") et la confidentialité par défaut ("privacy by default") sont deux concepts clés dans la mise en œuvre de la protection des données personnelles, issus de l'article 25 du RGPD.
Le principe de protection des données dès la conception signifie que l’entreprise doit intégrer la protection des données à caractère personnel, dès la conception de projets rattachés au traitement des données d’une entreprise. L'objectif est alors de minimiser les risques d’un non-respect du traitement des données au RGPD, dès la conception d'un projet et par défaut.
Le principe de privacy by design s’applique lors de la conception d’un produit ou d’un service, ce qui nécessite de l’anticipation de la part des entreprises.
Toutefois, l’application de mesures protégeant les données personnelles ne s’arrête pas à la conception, et doit se dérouler tout au long du cycle de vie du traitement sur les données.

Définitions

Confidentialité dès la conception ("privacy by design")

Prise en compte des enjeux liés à la protection des données privées dès la conception du traitement. Empêcher en amont toute atteinte aux droits de la personne concernée.

Confidentialité par défaut ("privacy by default")

Les mesures de protection et de sécurité des données doivent être actives par défaut pour toute opération sur des données.

Minimisation des données personnelles

Traiter uniquement les données adéquates, pertinentes et nécessaires au regard des finalités pour lesquelles elles sont collectées.

Intégrité et confidentialité

Réglementer strictement l'accessibilité aux données personnelles via une autorisation d'accès à la politique et les mesures de sécurité ad hoc.

Limitation de la durée de conservation des données

Fournir dès le début du traitement un dispositif de purge des données à la date d'expiration de leur durée de conservation.

Comment mettre en œuvre la confidentialité dès la conception et par défaut ?

Afin de mettre en place le privacy by design, la protection des données personnelles doit être prise en compte à chaque étape du processus de création de nouveaux projets. Cela signifie que les entreprises doivent, a minima et ce avant la mise en production des projets :
  • Informer le DPO ou équivalent de l'existence de ces projets
  • Analyser les risques associés à la vie privée dans ces projets
  • Identifier et mettre en œuvre dans le projet les mesures intégrant la protection des données à caractère personnel
  • Documenter l'ensemble des éléments afin de constituer des preuves de respect des principes de privacy by design & by default.
Le principe de privacy by design est issu directement du principe d’accountability posé par le RGPD au sein de son article 5. En effet, les responsables de traitement ont l’obligation de :
  • s’interroger sur la conformité de leurs traitements des données avec le RGPD
  • être en mesure de prouver cette conformité
Ils sont donc tenus responsables du respect des règles imposées par le RGPD. C’est pourquoi, ils doivent mettre en œuvre et actualiser les mesures garantissant le respect du traitement des données personnelles.
Les principes de Privacy by Design peuvent être appliqués de différentes manières dans Dastra :
  • Créer des formulaires d'audit spécifiques permettant de collecter les informations nécessaires
  • Identifier et analyser les risques pour évaluer les mesures à mettre en œuvre afin de répondre aux enjeux
  • Identifier, assigner et faire le suivi des tâches de remédiation
  • Documenter le registre en indiquant dans les fiches de traitement les mesures mises en œuvre et ainsi constituer la piste d'audit

Pour aller plus loin