Data Protection by Design : Comment le déployer, de quoi s'agit-il, quelles actions mener ? Regardons ce que nous dit la loi et traduisons ensemble ces exigences en actions concrètes. Rendez-vous en bas de page pour la liste d'actions PiaLab.

Ce que dit l'article 25 du RGPD :

"(…) le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (…) qui sont destinées à mettre en œuvre les principes relatifs à la protection des données (…) de façon effective et à assortir le traitement des garanties nécessaires afin (…) de protéger les droits de la personne concernée."

Ce que préconise l’ISO27701 :

Intégration de la « Privacy » dans le processus de développement logiciel (§6.11.2.1) :

  • Créer un guide à destination des processus de développement relativement aux principes de protection de la vie privée

  • Inclure les exigences de protection de la vie privée dès la phase de conception logicielle, en se basant sur l’appréciation des risques et impacts sur la vie privée

  • Positionner des points d’étape réguliers au sujet de la protection de la vie privée dans le projet de création logicielle

  • S’assurer de la connaissance de la protection des informations personnelles et de la vie privée

  • Minimiser par défaut le traitement des informations personnelles

Les systèmes et composants impliqués dans le traitement d’informations personnelles devraient inclure les principes de protection de la vie privée et des informations personnelles (§6.11.2.5)

L’externalisation ne devrait pas réchapper à ces précédentes exigences (§6.11.2.7)

Les principes de protection de la vie privée et des informations personnelles sont (§7.4) :

  • La limitation de la collecte d’informations personnelles, en particulier de collecte indirecte (ex: usage des outils marketting Google ou Facebook)

  • Limiter le traitement d’informations personnelles

  • S’assurer de la qualité (exactitude) des informations personnelles détenues

  • Se doter d’objectifs de minimisation des informations personnelles (pseudonymisation, anonymisation, dé-identification…)

  • Dé-identification et purge des informations personnelles après traitement et maîtrise de la durée du traitement

  • Gérer avec attention tout « fichier temporaire » pouvant contenir des informations personnelles (ex: mémoire, corbeille, …)

  • Maîtriser les transferts d’information personnelle

Ce que dit le CEPD dans ses lignes directrices 4/2019 (13/11/2019)

  • L’effectivité des mesures de sécurité choisies et mises en place dans les traitements de DCP sont au cœur du concept de protection des données dès la conception

  • Aucune méthode spécifique n’est exigée pour ce faire

  • Les mesures implémentées doivent être démontrables

 

Pour ce faire, l’article 25 du RGPD est clair, il faut se baser sur l’état de l’art, autant pour l’article 32 (sécurité) que pour l’article 25 (DPbyDesign), des points de vue organisationnels et techniques. Cette référence à « l’état de l’art » impose aux responsables de traitement de tenir une veille sur les progrès réalisés en matière technologiques. Une mesure positive à un instant T peut ne plus l’être à l’instant T+1. Cette référence à « l’état de l’art » fait également appel à la notion de coûts (financiers, humains, temporels) de déploiement. Cela signifie que le responsable de traitement est en mesure de démontrer qu’il maîtrise les coûts des mesures sélectionnées.

Ces considérations doivent être prises au moment de la conception d’un traitement, mais également durant l’ensemble de son cycle de vie :

  • choix des fournisseurs / externalisation

  • développement informatique

  • assistance technique

  • Tierse maintenance applicative

  • Tests

  • Entrepôt, archivage

  • Suppression

En bref, les conseils PiaLab :

Adopter une procédure qui assure l’implication du DPO, ou au moins une appréciation des risques de sécurité de l’information et pour les droits et libertés des personnes dès la conception, en amont de tout changement dans un traitement (qu’il soit déjà connu ou non dans le registre des processus métiers / des traitements), autrement dit :

  • à la conception d’un produit-traitement

  • en cas de modification du traitement (dont externalisation)

  • en fin de vie du traitement

  • lors de tout changement dans l’environnement (interne comme externe)

  • régulièrement à des intervalles planifiés

  • en cas d’incident de sécurité ou d’exception

  • en cas de découverte (émergence d’une nouvelle menace ou d’une nouvelle vulnérabilité)

  • en cas d’incident de sécurité chez un sous-traitant, même sans relation directe avec son produit-service

Lors des exécutions de cette procédure, il est important de connaître l’état de l’art et les bonnes pratiques en matière de protection des données ainsi que la connaissance de l’environnement (dont les opportunités), afin de faire des choix éclairés, documentés, et archivés convenablement… de manière à pouvoir démontrer que la démarche a bel et bien été suivie correctement.

Nos derniers articles

A la recherche d'un DPO externe, d’un accompagnement ou d’une formation RGPD ?

Notre équipe est à votre disposition pour découvrir vos besoins et vous proposer une méthodologie d'intervention adaptée.