7 jours, 7 pas dans la bonne direction : le nouveau RGPD - Privacy by Design comme concept de base (Jour 6)
- Publié le 14.05.2018
La protection des données doit être visible, transparente, ouverte, documentée et prouvable de manière indépendante
Le concept de la Privacy by Design demande que les standards de protection des données soient visibles pour les utilisateurs. Cela signifie que la protection des données doit être transparente, ouverte, documentée et prouvable de manière indépendante.
Cette nouvelle transparence signifie par la même occasion que les processus de protection de données doivent aussi faire leurs preuves dans le cadre d’une vérification externe – comme le veut la devise : faire confiance, c’est bien, contrôler, c’est mieux ! La visibilité et la transparence sont essentielles pour l’instauration d’un climat de confiance et de responsabilité.
Le RGPD contient des exigences fondamentales basées sur le concept du concept de la Privacy by Design :
Responsabilité : La collecte de données personnelles comprend une obligation de soin concernant leur protection et cela, comme nous l’avons déjà écrit, pendant tout leur cycle de vie. Les responsabilités concernant toutes les directives et procédures relatives à la protection des données doivent être documentées, communiquées le cas échéant et être affectées dans certains cas à une personne particulière. En cas de transmission de données personnelles à des tiers, une protection des données équivalente doit être garantie par contrat ou par un autre moyen.
Ouverture : L’ouverture et la transparence sont les clés de la responsabilité. On facilite l’accès de l’utilisateur aux informations sur les directives et les pratiques en liaison avec la gestion des données personnelles.
Respect : Des mécanismes de plainte et de recours juridique doivent être aménagés et publiés pour l’utilisateur. Il faut également être actif dans les coulisses et contrôler en continu la surveillance, l’évaluation et la vérification du respect des directives sur la protection des données personnelles.
Les points ci-dessus semblent beaucoup trop juridiques. Se pose alors la question de savoir comment je peux faire dans un premier temps pour que mon site Web soit conforme à ces exigences ?
L’un des premiers pas consiste à se doter d’une Privacy Policy ou déclaration sur la protection des données personnelles. Alors qu’aujourd’hui un volume considérable de données circule sur les lignes, les sites Web et applis qui ne disposent toujours pas d’une déclaration de confidentialité sont légion. Nombreux sont ceux qui devront y remédier d’ici le 25 mai 2018. Cela signifie qu’en plus des mentions légales il faudra prévoir sur le site Web une déclaration de confidentialité conforme au RGPD, laquelle devra pouvoir être consultée depuis chaque page secondaire. Pour la création d’une telle Privacy Policy on pourra avoir recours aux services de générateurs en ligne (on trouvera à des fins d’illustration dans les sources un exemple de générateur conforme au RGPD).
Grosso modo, dans sa forme la plus minimaliste, un tel document devra répondre aux questions suivantes :
- Qui suis-je (identité et données de contact),
- Quelles catégories de données personnelles le site Web/l’appli entend collecter et traiter,
- Pourquoi le traitement des données est nécessaire (à quelles fins exactes),
- Est-ce que des données sont transmises à des tiers (description, non pas générique, mais spécifique, des destinataires des données),
- Quels sont les droits des utilisateurs pour ce qui est de la révocation de l’autorisation et de la suppression de données.
J’emploie volontiers pour désigner les réflexions ci-avant une expression qu’Amber Case avait utilisée dans l’un de ses exposés : la MVPP – Minimum Viable Privacy Policy – c’est-à-dire la plus petite déclaration de confidentialité viable.
Le point concernant les données qui sont transmises et les tiers qui en sont les destinataires est notamment très important. Si la situation devait changer, il faut dans tous les cas actualiser très rapidement cette rubrique.
Pour ce qui concerne justement la déclaration de confidentialité, on peut encore faire un pas important en direction de l’utilisateur et établir quelque chose comme une Privacy User Experience (PUX). Les mots-clés sont ici simplifier et consolider. Une solution élégante consiste à élaborer avec un conseiller juridique une version complète et une version simplifiée de la déclaration de confidentialité. Avec une telle démarche, la déclaration de confidentialité actuelle pourrait être complétée par un bref condensé.
La rubrique d’aujourd’hui s’est moins consacrée à la mise en pratique au plan graphique du concept de la Privacy by Design sur des sites Web qu’au choix des mots justes et à la réponse à des questions importantes pour l’utilisateur. Les mots sont eux aussi un composant essentiel de chaque design.
La transparence devient le point décisif pour la mise en pratique du RGPD et dans le processus Private by Design.
Informations supplémentaires et sources
Générateur en ligne pour la protection des données - Dr. Thomas Schwenke
Designing for Privacy in Mobile and Web Apps - Amber Case
Rechtssichere Internetseiten & Onlineshops - DSGVO-konform - Mittelstand 4.0-Kompetenzzentrums Saarbrücken
Vue d'ensemble du RGPD - Commission européenne
Ce qui pourrait aussi vous intéresser
