L’article 25 du Règlement Général sur la Protection des Données (RGPD) prévoir les principes de Privacy by design et Privacy by default. Ils correspondent en français à la protection des données personnelles dès la conception et par défaut.
La réponse au sondage « Quand doit-on mettre en place le Privacy by design ? »
À l’occasion d’un sondage réalisé le 01 février dernier sur notre page LinkedIn, nous vous avons demandé quand une entreprise doit mettre en place le Privacy by design.
Vous avez été fort ! Sur 152 votants, 95% d’entre vous ont « Avant le projet ». En effet, l’entreprise doit mettre en place ces principes dès la conception du projet.
Mettre en oeuvre le privacy by design et le privacy by default
Lors du lancement d’un nouveau projet impliquant des données personnelles (logiciel de paie, CRM, newsletters…), il faut respecter ces deux principes.
Mais c’est quoi le privacy by design et privacy by default ?
Le privacy by design, c’est la protection des données dès la conception. Autrement dit, les acteurs de la donnée doivent intégrer la protection des données à caractère personnel dès la conception de projets qui impliquent une activité de traitement de données (application, site internet, objet connecté etc..). Il faut s’assurer dès le début que le projet (et les nouvelles modalités de traitements prévues) respecte le RGPD.
Comment faire ? Le porteur de projet doit prendre des mesures techniques et organisationnelles appropriées au traitement des données au regard de la finalité poursuivie et les risques encourus pour les personnes concernées. Respecter ce principe implique d’implémenter des mesures préventives permettant notamment d’empêcher la collecte de données personnelles sans raison légitime ou de s’assurer que les données seront supprimées lorsqu’elles n’auront plus d’utilité.
Concernant le Privacy by default, les entreprises doivent s’assurer que les données à caractère personnel sont traitées selon le niveau le plus élevé de protection de la vie privée possible sans que les personnes concernées n’aient à réaliser de manipulations ou de démarches particulières. Ce niveau maximal de protection ne doit pas non plus empêcher les personnes concernées Autrement dit, l’utilisateur doit être assuré que, sans aucune manipulation des paramètres, sa vie privée sera respectée et ses données protégées.
Pour être plus clair
Le responsable du traitement peut, par exemple, adopter les mesures qui suivent :
- La pseudonymisation des données. C’est-à-dire le remplacement de certaines données personnelles par un pseudonyme. La personne n’est plus identifiable directement, cependant contrairement à l’anonymisation ce procédé est réversible. La pseudonymisation permet aux entreprises d’utiliser les données, tout en protégeant la vie privée de l’individu. De cette façon, les données sont « séparées » de l’identité de l’individu.
- La minimisation de la collecte des données. Selon ce principe, seules les données nécessaires aux fins requises par l’entreprise sont collectées. L’utilisateur peut ensuite faire le choix de donner accès à plus de données en modifiant les paramètres par défaut. C’est par exemple le cas lorsqu’une application ou un site vous propose d’autoriser ou de refuser
l’activation de la géolocalisation. Par défaut, l’application est paramétrée pour ne pas géolocaliser, vous pouvez toutefois modifier ce paramètre et donner accès à votre localisation.
Mission RGPD et le Privacy by Design
Vous ne savez pas comment mettre en place le Privacy by design ou du Privacy by default ? Vous n’avez pas le temps ?
Avec Mission RGPD vous pouvez utiliser le module registre en créant une fiche en mode projet pour documenter toutes les mesures prises au titre du Privacy by design et du Privacy by default.
Ne perdez plus de temps, c’est si simple !