Créer votre compte gratuitement et accéder à tous les contenus de Décision Achats !

Recherche
S'abonner
Mag Décision Achats
S'abonner à la newsletter S'abonner au magazine
En ce moment En ce moment

AccueilDossiersComprendre le RGPD: focus sur le principe de privacy by design, ou de protection de la vie privée dès la conception

Comprendre le RGPD: focus sur le principe de privacy by design, ou de protection de la vie privée dès la conception

Publié par le | Mis à jour le
Comprendre le RGPD: focus sur le principe de privacy by design, ou de protection de la vie privée dès la conception

Le principe de privacy by design est l'une des nouveautés introduites par le Règlement européen sur la protection des données personnelles (RGPD). Quelles sont les implications concrètes de ce principe? Comment le mettre en oeuvre? Romain Maillard, du cabinet BDO, analyse cet aspect majeur du RGPD.

Je m'abonne
  • Imprimer

1 - Le principe de privacy by design: décryptage

Le principe de privacy by Design (ou de protection de la vie privée dès la conception) impose aux responsables de traitement d'anticiper, dès l'étape de définition d'un projet, toutes les contraintes juridiques en matière de protection des données à caractère personnel. Que ce soit dans le cadre du développement d'une application ou de l'élaboration d'un logiciel, le RGPD exige ainsi l'intégration des problématiques "Informatique et Libertés" à tous les stades du cycle de vie du projet: depuis la définition des besoins et des spécifications jusqu'au déploiement et à la maintenance.

2 - Implications opérationnelles

Opérationnellement, le privacy by design pourra bousculer vos modèles de gouvernance de projets informatiques. Il conviendra d'attirer l'attention des opérationnels sur le respect des dispositions applicables et challenger les métiers entre autres à propos des finalités poursuivies, des données réellement nécessaires qui doivent être collectées, des durées de conservation minimales, etc.

Lire aussi : [Tribune] La Gestion du Risque Tiers : Enjeux, Démarche et Méthodologie

La mise en oeuvre du principe de privacy by design peut se décliner en une checklist d'(au moins) 6 corollaires essentiels qui doivent apparaître d'une manière ou d'une autre dans le cahier des charges de votre projet de développement:

1 - Vous devez veiller à respecter le principe de minimisation, et ce dès la phase d'étude préalable, en poursuivant l'objectif de réduire la quantité des données collectées au strict minimum. Illustration: la collecte de données de géolocalisation n'est pas indispensable à la pérennité d'une application de commande de vin en ligne. Un champ flagué comme facultatif dans un questionnaire a d'immenses chances de pouvoir être considéré comme superflu et peut être ainsi écarté. Dans la mesure du possible, on privilégiera l'utilisation de listes déroulantes plutôt que l'emploi de champs libres.

2 - Votre cahier des charges doit préciser où et de quelle manière les informations exigées par le Règlement seront communiquées aux personnes concernées. Pour reprendre l'exemple précédent, l'éditeur doit prévoir, entre autres, d'indiquer dans le formulaire de création du compte utilisateur que les données qu'il collecte à travers son application seront susceptibles d'être transférées au réseau des vignerons indépendants du pays Dacquois (façon de rappeler que les tiers doivent être clairement identifiées).

3 - Vous devez également définir avec une granularité aussi fine que possible les modalités d'exercice des droits des personnes et la manière dont les réponses peuvent être fournies. Une automatisation des réponses aux demandes de droits d'accès ou de portabilité peut ainsi être envisagée.

4 - Il convient aussi de déterminer les durées de conservation adéquates et d'étudier les modalités de suppression dès la phase de conception. Il pourra être décidé dès la phase de conception de mettre en place un effacement automatique des données après X mois suivant la désinstallation de l'application par l'utilisateur.

5 - Il faut envisager dès le stade de la conception et dans la mesure du possible, la pseudonymisation des données à caractère personnel, pour minimiser l'impact potentiel d'un vol de données.

Lire aussi : [RSE] Le transport maritime se met au rétrofit et a-vent-ce

6 - Enfin, la création et la gestion des profils utilisateurs donnant des droits d'accès aux données (et d'une manière plus générale la prise en compte de l'ensemble des exigences de sécurité) doivent également être intégrées à la réflexion.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).


À lire aussi:

Focus sur le principe de coresponsabilité entre le responsable de traitement et le sous-traitant

Focus sur le principe de limitation de la conservation des données

Focus sur le principe de transparence et l'information des personnes concernées

Focus sur l'élaboration du registre des traitements

Protection des données personnelles: la Cnil publie un guide sous forme de 17 fiches pratiques

[Dossier] RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données

Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

La rédaction vous recommande

En version papier

S'abonner au magazine

Recevez le magazine directement
chez vous

8.75 € / mois

Je m'abonne

En version numérique

Magazine Décision Achats Magazine Décision Achats


Ne rien manquer de vos actualités préférées

Je m'abonne
Retour haut de page