La protection de la vie privée dès la conception aka Privacy by Design / by Default - Fabien Perot

La protection de la vie privée dès la conception aka Privacy by Design / by Default

La protection de la vie privée dès la conception

Petite nouveauté aujourd’hui sur le blog, puisque je ne serai pas à la plume : j’ai confié à Kenza Benmahioul la lourde tâche de nous aiguiller, entres autres, sur certains aspects RGPD et de vie privée. Un sujet qui nous concerne tous en tant qu’entrepreneurs, mais qui est souvent bien flou !
Bonne lecture à tous, je vous laisse entre de bonnes mains
!
_______________

À l’heure du Big Data, de l’accroissement de la vente en ligne (notamment e-commerce, formation en ligne, prestation de service en ligne, …) et des nouvelles technologies, la collecte de données à caractère personnel devient une pratique de plus en plus courante.

Et pourtant la sensibilisation aux données personnelles ne suit pas le même essor, la réglementation et les bonnes pratiques relatives aux traitements de données restent encore ignorées malgré les lourdes sanctions en cas de non-respect.

Le Règlement Général sur la Protection des Données (RGPD) dispose en son article 78 qu’« Il convient d’inciter les fabricants de produits, prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception ». Pour cela, le Responsable de traitement, à savoir toute personne morale ou physique qui détermine les finalités et les moyens d’un traitement, a le devoir d’adopter des « mesures techniques et organisationnelles appropriées ».

Vous l’aurez bien compris, le RGPD s’inscrit dans une logique de responsabilisation des organismes en laissant au Responsable de traitement décider quelles sont les mesures appropriées par rapport aux traitements réalisés. Il est question ici de mettre en application un principe posé par le RGPD : le principe de Privacy by Design / by Default. Ce principe consiste à protéger les données personnelles dès la conception de système impliquant un traitement de données.

Le Juriste du Digital s’investit donc pour vous exposer les principales mesures recommandées par le RGPD qui peuvent s’appliquer à vos traitements de données :

A)  Principe de minimisation des données

Commençons par le principe de minimisation des données… Ce principe consiste à ne collecter que les données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles vous les collectés.

Par exemple, si vous proposez un Ebook, il ne sert à rien de collecter le statut marital de l’utilisateur, seul l’email suffit en principe. On ne collecte que ce qui est nécessaire !

B)  Pseudonymisation et Anonymisation des données

Pseudonymiser des données, c’est remplacer des données identifiantes par un pseudo, de sorte à ce qu’on ne puisse pas attribuer les données collectées à une personne physique sans avoir besoin d’informations supplémentaires.

On peut retrouver notamment une mesure presque similaire : l’anonymisation. Elle consiste à mettre en place un ensemble de techniques de manière à rendre impossible toute identification de la personne concernée. Contrairement à la pseudonymisation, cette mesure n’est pas réversible.

Elle permet en outre de partager vos données sans porter atteinte à la vie privée !

C)  Droits des individus

Lorsque vous collectez des données personnelles, les personnes concernées disposent de droit à cet égard : droit de rectification, droit à la portabilité, droit au déréférencement, etc.

Vous avez l’obligation de leur renseigner leurs droits, notamment à travers votre politique de confidentialité mais vous avez aussi l’obligation d’y répondre, et cela, dans un délai d’un mois voire deux/trois pour les cas les plus complexes.

Ainsi, vous devez être prêt à répondre à ce type de situation, préparez-vous des procédures à suivre pour les appliquer conformément aux attentes du RGPD. Il en va de même en cas de violation de données, je vous rappelle que dans un tel cas, vous avez l’obligation d’en avertir la CNIL dans les 72 heures suivants la violation, et d’en avertir les personnes concernées si cela porte un risque à leur vie privée.

D)   Site internet

Votre site internet doit aussi faire apparaître des mesures relatives à la protection des données personnelles. Cela renvoie à plusieurs documents/mentions : mentions légales, mentions d’information sur les formulaires de collecte, conditions générales d’utilisation, politique de confidentialité, politique cookie…

Tout cela doit apparaître sur votre site internet et être facilement accessible pour l’utilisateur. En plus d’être accessibles, ils doivent être conformes aux attentes du RGPD.

Par exemple, lorsque vous mettez une mention d’information accompagnée d’une case à cocher sous un formulaire de collecte, veillez à ce que la case ne soit pas pré-cochée. Le cas échéant, le consentement n’est pas entendu comme celui définit par le RPGD exigeant un consentement : “libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel fassent l’objet d’un traitement.”

E) Utiliser des outils sécurisés

Grâce à l’évolution des nouvelles technologies, beaucoup d’outils ont été créés afin de faciliter le quotidien des organismes. Ainsi, les données que vous collectez et que vous faites circuler dans ces outils  sont exposées à d’autres risques. En effet,  ces outils peuvent présenter des failles, être soumis à des lois étrangères, être malveillants, etc. Alors lorsque vous choisissez des outils avec lesquels les données que vous avez collectées seront exposées, veillez à ce qu’ils soient sécurisés. Pour cela, contactez le support, renseignez- vous auprès de leur politique de confidentialité, leur mention d’information, informez-vous. Généralement, si vous ne trouvez pas réponses à vos questions, c’est mauvais signe.

J’espère que ces quelques mesures vous auront aidé à sécuriser et mettre en conformité un peu plus votre activité en ligne. Sachez que vous pouvez déléguer la mise en place de ces mesures à des professionnels si vous ne vous en sentez pas capable ou si vous n’avez tout simplement pas le temps pour cela. L’important est de sécuriser les données ! En plus de limiter votre responsabilité et les risques pour les données, être en conformité est devenu un gage de confiance et de qualité auprès des utilisateurs, un avantage à ne pas négliger.

____________________
Vous pouvez retrouver Kenza sur son site web : Le Juriste du Digital.
Un énorme merci à elle !

Retour haut de page