Le Comité européen de la protection des données (CEPD) soumet à consultation publique un projet de lignes directrices 4/2019 sur la protection des données dès la conception et par défaut.
En vertu du règlement général sur la protection des données (RGPD), les principes de protection des données dès la conception et de protection des données par défaut sont devenus des obligations légales pour les responsables du traitement des données et leurs sous-traitants (1).
A ce titre, ils doivent mettre « en œuvre des mesures techniques et organisationnelles appropriées […], qui sont destinées à mettre en œuvre les principes relatifs à la protection des données […] de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée » (RGPD art. 25, § 1).
La protection des données dès la conception
Le responsable du traitement et ses sous-traitants doivent respecter cette obligation de protection dès la conception c’est-à-dire :
- « tant au moment de la détermination des moyens du traitement » (lorsque les systèmes de traitement sont conçus, développés et testés)
- « qu’au moment du traitement lui-même » (lorsque le système de traitement est exécuté).
Par conséquent, la protection des données et le respect de la vie privée doivent être intégrés, dès la conception, aux spécifications et à l’architecture des systèmes d’information et de communication.
Cela implique la prise en compte de nombreux critères tels que :
- « l’état de la technique » qui impose de se tenir informés des progrès technologiques afin d’assurer la mise en œuvre efficace et continue des principes de protection des données.
- « les coûts de mise en œuvre » qui nécessitent de prendre en compte le coût et les ressources nécessaires à la mise en œuvre efficace et au maintien en vigueur de tous les principes de protection des données tout au long du traitement.
- « la nature », « la portée », le « contexte » et « les finalités du traitement », ainsi que le risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques découlant du traitement.
La protection des données par défaut
Le responsable du traitement et ses sous-traitants doivent en outre garantir que, « par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées » (RGPD art. 25, § 2).
Cela signifie que toute opération de traitement doit se limiter au strict nécessaire, ce qui s’applique « à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité » (RGPD, art. 25, § 2) qu’il s’agissent de personnes physiques ou d’organisations.
Par conséquent, les paramètres par défaut doivent être conçus dans l’esprit même de la protection des données.
Ces lignes directrices proposées par le CEDP visent à mieux appréhender l’application de ces principes. Elles donnent des indications générales sur leur mise en oeuvre effective illustrées d’exemples pratiques et de recommandations.
Les lignes directrices en ligne depuis le 20 novembre 2019, sont soumises à consultation publique jusqu’au 16 janvier 2020.
Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications
(1) Voir A. Bensoussan, « Informatique et libertés », éditions Francis Lefebvre, 3e éd. à jour de la nouvelle loi Informatique et libertés, décembre 2019.