Nouveauté du règlement européen, l’approche privacy by design est un véritable outil de protection des données.
Définie à l’article 25 du règlement général sur la protection des données (1), l’approche privacy by design consiste pour une entreprise à développer des produits et des services en prenant en compte, dès leur conception et tout au long de leur cycle de vie, les aspects liés à la protection de la vie privée et des données à caractère personnel.
En pratique, l’approche privacy by design consiste pour le responsable de traitement à appliquer des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à la finalité du traitement seront traitées.
A titre d’exemple, la pseudonymisation (2) des données est une mesure technique et organisationnelle à laquelle les entreprises peuvent recourir. Elle permet de ne plus pouvoir associer des données à une personne physique précise sans avoir recours à des informations supplémentaires. La minimisation des données (3), qui consiste à ne traiter que des données adéquates, pertinentes et limitées à la finalité du traitement, constitue également une mesure qui peut être appliquée au titre de l’approche privacy by design.
Afin de définir les mesures à mettre en œuvre, le responsable de traitement peut être aiguillé par différents critères : l’état des connaissances, les coûts de mise en œuvre des mesures, la nature, la portée, le contexte et les finalités du traitement, ainsi que la probabilité et la gravité des risques encourus pour les droits et libertés des personnes physiques.
L’implémentation d’une approche privacy by design constitue ainsi un gage supplémentaire de qualité et de confiance pour l’entreprise quant au traitement des données à caractère personnel des clients mais également des salariés, partenaires, prestataires.
Elle est de plus un outil de différenciation vis-à-vis des autres acteurs du secteur.
L’approche privacy by design qui sera obligatoire dès le 25 mai 2018 est donc un atout pour la protection des données à caractère personnel et pour l’entreprise elle-même. Il est ainsi essentiel de mettre en place dès à présent une procédure ou une politique privacy by design.
Chloé Torres
Julie Schwartz
Lexing, Droit Informatique et libertés
(1) Règlement (UE) 2016/679 du 27-4-2016 abrogeant la directive 95/46/CE (règlement général sur la protection des données).
(2) Règlement général sur la protection des données, art. 4.
(3) Règlement général sur la protection des données, art. 5-1.