29/09/16

Découvrez notre série de la rentrée : « LES EXPERTS : Données personnelles »

holding privacy settings smartphoneLe 25 mai 2018, tous les organismes publics et privés devront avoir mis en place l’ensemble des moyens techniques et organisationnels prévus par le règlement européen sur la protection des données personnelles.

Retrouvez tous les 15 jours un nouvel épisode, au cours duquel nos experts analyseront et décrypteront pour vous les opportunités, les risques et les enjeux induits par ce règlement. 

Saison 1, épisode 1 : Privacy by Design 

La protection de la vie privée dès la conception ou « Privacy by Design » : un nouveau mode de régulation du traitement de données à caractère personnel

Le règlement européen prévoit de nouvelles obligations à la charge des responsables de traitement, dont l’obligation de protéger la vie privée dès la conception du produit ou du service, communément désignée par l’expression « Privacy by Design ». L’objectif est d’anticiper tous les risques liés à au traitement de données à caractère personnel via l’adoption de mesures proactives destinées à améliorer la confiance des utilisateurs et à apporter un avantage compétitif. Ces mesures devront être implémentées avant le 25 mai 2018, date à laquelle le règlement sera applicable.

Le règlement (UE) 2016/679 opère un changement de paradigme dans la régulation du traitement des données à caractère personnel : en contrepartie de l’allègement des formalités préalables, les entreprises devront être proactives et intégrer la conformité dans leurs démarches internes. Le principe de Privacy by Design en est une composante essentielle.

Alors que jusqu’à présent le responsable de traitement intervenait a posteriori, celui-ci devra désormais agir en amont via l’adoption d’un ensemble de mesures techniques et organisationnelles afin de protéger les données à caractère personnel et la vie privée, conformément à l’article 25 du règlement européen sur la protection des données. Les sanctions prévues par le règlement peuvent aller jusqu’à 10 000 000 euros et 2% du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

Concrètement, le respect de la vie privée et de la protection des données va devoir être pris en compte dans le développement et la conception des systèmes informatiques et d’infrastructure des réseaux. Dès lors que la technologie va permettre d’être intrusive dans la vie privée des utilisateurs, de collecter massivement des données, et plus particulièrement lorsque ces données ont un caractère sensible ou vont permettre une analyse du comportement de la personne, l’entreprise devra s’interroger sur le respect par sa technologie du principe de Privacy by Design.

Ces exigences pourront notamment être respectées :

  • en minimisant l’utilisation des données personnelles ;
  • en se limitant aux données strictement nécessaires à l’utilisation de la technologie ;
  • en limitant le volume des données traitées ;
  • en limitant la durée de conservation des données ;
  • en limitant les destinataires des données ;
  • en privilégiant l’anonymisation ou la pseudonymisation des données ;
  • en intégrant dans les dispositifs technologiques un niveau de sécurité très élevé ;
  • en évitant toute interconnexion et croisement de données ;
  • en assurant une formation du personnel de l’entreprise ;
  • en documentant l’ensemble des mesures prises pour assurer le respect de ces différentes exigences.

A la frontière d’obligations relevant des domaines juridiques, informatiques, économiques, éthiques et organisationnels, ce nouveau mode de régulation va nécessiter une coopération de l’ensemble des acteurs de l’entreprise. Elle contraindra les entreprises à insuffler en amont une culture des données personnelles à l’ensemble des intervenants de l’entreprise. Si cette culture devra être portée en premier lieu par le Data Privacy Officer (DPO), les responsables de développement et de projet vont devoir être les premiers à s’emparer de ce principe de Privacy by Design et à l’intégrer dès leur réflexion sur le développement de nouvelles technologies.

Entré en vigueur le 25 mai 2016, le règlement (UE) 2016/679 sera applicable le 25 mai 2018 dans chaque Etat membre, date à laquelle tous les responsables de traitements devront avoir implémenté l’ensemble des mesures techniques et organisationnelles induites par le principe de Privacy by Design dont certaines concernent d’ores et déjà des projets en cours.

A suivre

 

 

Dans le prochain épisode, nos experts analyseront les enjeux pratiques liés à l’obligation d’établir des normes internes protégeant les données à caractère personnel ou « Accountability ».

Cet article a été rédigé par Leïla Bénaïssa et Matthieu Dary.


Mots-clés : , , ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *