Le concept de « protection de la vie privée dès la conception »
Vous avez un projet d’évolution de votre système d’information tel que la mise en place d’un nouveau logiciel, la modification de l’architecture réseaux, l’externalisation de prestations, etc. ?
Il faut adopter une démarche Privacy by design !
Conformément à l’article 25 paragraphe 1 du Règlement Général sur la Protection des Données (RGPD), le principe de Privacy by Design oblige vos établissements et services sociaux et médico-sociaux à intégrer en amont d’un nouveau traitement toutes les mesures permettant de protéger la vie privée des personnes concernées par le traitement.
De manière générale, ce concept indique que le responsable de traitement doit adopter des règles internes et mettre en œuvre des mesures qui respectent les principes de protection des données dès la conception du traitement (quantité de données collectées, durée de conservation, accessibilité).
En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes sans l’intervention de la personne concernée, par exemple : Quels sont les professionnels qui pourront accéder à cette information ? (Principe Privacy by Default, article 25 paragraphe 2 du RGPD).
La démarche Privacy by Design doit faire en sorte que l’utilisation de composants, terminaux, systèmes d’informations permettent de respecter le RGPD lors des traitements de données. Cela concerne tout type de données personnelles mais, plus rigoureusement encore, les données dites sensibles telles que les données de santé. Cet enjeu est d’autant plus d’actualité au regard de l’utilisation des objets connectés qui collectent de plus en plus d’informations et composent une identité numérique très fine.
A quel moment mettre en œuvre le « Privacy by design » ?
S’agit-il d’une donnée personnelle ? Est-il possible d’anonymiser ? Cela a-t-il des conséquences sur l’information et les droits des personnes ? Connaître le nom et le prénom de l’utilisateur est-il nécessaire pour le processus d’authentification ? Un pseudonyme n’est-il pas suffisant ?
Telles sont les questions que vos équipes sont amenées à se poser lors de la rédaction du cahier des charges pour le lancement d’un nouveau projet : l’installation d’un nouveau logiciel de paie, un outil de gestion de la relation client, la mise en place d’une newsletter hebdomadaire, l’achat d’objets connectés, etc…
Pour plus de précisions, n’hésitez pas à consulter la fiche technique n°3 Adopter une démarche Privacy by design et Privacy by Default proposée par le Cabinet ACCENS dans le Newsletter DPO de juin 2021.
La démarche Privacy by design doit être mise en œuvre « au moment de la détermination des moyens du traitement » c’est-à-dire à la période pendant laquelle le responsable du traitement décide des modalités de réalisation du traitement ainsi que des mécanismes qui seront utilisés pour effectuer un tel traitement.
Pour cela, il est important de prendre en considération :
- L’« état des connaissances» (progrès technologique),
- Les coûts de mise en œuvre,
- La nature, la portée, le contexte,
- Les finalités du traitement,
- Les risques que présente le traitement pour les droits et libertés des personnes physiques.
Cette période comprend le moment d’acquisition et de mise en œuvre des logiciels, du matériel et des services de traitement de données.
Un défi technique et organisationnel
Les mesures permettant de protéger la vie privée doivent être adaptées pour atteindre l’objectif visé (finalités), c’est-à-dire qu’elles doivent mettre en œuvre les principes de protection des données de façon effective. Chaque mesure mise en œuvre devrait produire les résultats escomptés pour le traitement prévu par le responsable du traitement.
Concrètement, votre établissement ou service en tant que responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées au traitement. Vous pouvez être amenés à :
- Réduire à un minimum le traitement des données à caractère personnel
- Pseudonymiser les données à caractère personnel dès que possible
- Permettre au responsable de traitement de mettre en place des dispositifs de sécurité ou de les améliorer pour s’adapter à une éventuelle augmentation du risque
- Garantir la transparence
- Permettre à la personne concernée de contrôler le traitement
L’article 25 du RGPD n’impose pas la mise en œuvre de mesures spécifiques. Cependant, la réglementation exige que les mesures et garanties choisies soient propres à la mise en œuvre des principes de protection des données dans le cadre du traitement particulier concerné.
Responsabilités
Le RGPD mentionne le responsable de traitement, le sous-traitant, les responsables conjoints mais ne cite pas les éditeurs de logiciel ou les concepteurs de systèmes informatiques. Il convient d’inciter les fabricants de produits, les prestataires de services et les éditeurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications.
Lorsqu’un prestataire traite des données à caractère personnel pour votre compte, la révision de vos contrats de sous-traitance est ainsi essentielle.
En pratique, le délégué à la protection des données devra participer aux premières étapes de votre projet afin de pouvoir formuler les recommandations adéquates.
En tant que DPO externalisé, le Cabinet ACCENS se tient à votre disposition pour vous accompagner dans la mise en œuvre de vos projets dans le cadre du RGPD et pour toutes informations supplémentaires.
