Le concept de la Privacy by Design demande que les standards de protection des données soient visibles pour les utilisateurs. Cela signifie que la protection des données doit être transparente, ouverte, documentée et prouvable de manière indépendante.
Cette nouvelle transparence signifie par la même occasion que les processus de protection de données doivent aussi faire leurs preuves dans le cadre d’une vérification externe – comme le veut la devise : faire confiance, c’est bien, contrôler, c’est mieux ! La visibilité et la transparence sont essentielles pour l’instauration d’un climat de confiance et de responsabilité.
Le RGPD contient des exigences fondamentales basées sur le concept du concept de la Privacy by Design :
Responsabilité : La collecte de données personnelles comprend une obligation de soin concernant leur protection et cela, comme nous l’avons déjà écrit, pendant tout leur cycle de vie. Les responsabilités concernant toutes les directives et procédures relatives à la protection des données doivent être documentées, communiquées le cas échéant et être affectées dans certains cas à une personne particulière. En cas de transmission de données personnelles à des tiers, une protection des données équivalente doit être garantie par contrat ou par un autre moyen.
Ouverture : L’ouverture et la transparence sont les clés de la responsabilité. On facilite l’accès de l’utilisateur aux informations sur les directives et les pratiques en liaison avec la gestion des données personnelles.
Respect : Des mécanismes de plainte et de recours juridique doivent être aménagés et publiés pour l’utilisateur. Il faut également être actif dans les coulisses et contrôler en continu la surveillance, l’évaluation et la vérification du respect des directives sur la protection des données personnelles.
Les points ci-dessus semblent beaucoup trop juridiques. Se pose alors la question de savoir comment je peux faire dans un premier temps pour que mon site Web soit conforme à ces exigences ?
L’un des premiers pas consiste à se doter d’une Privacy Policy ou déclaration sur la protection des données personnelles. Alors qu’aujourd’hui un volume considérable de données circule sur les lignes, les sites Web et applis qui ne disposent toujours pas d’une déclaration de confidentialité sont légion. Nombreux sont ceux qui devront y remédier d’ici le 25 mai 2018. Cela signifie qu’en plus des mentions légales il faudra prévoir sur le site Web une déclaration de confidentialité conforme au RGPD, laquelle devra pouvoir être consultée depuis chaque page secondaire. Pour la création d’une telle Privacy Policy on pourra avoir recours aux services de générateurs en ligne (on trouvera à des fins d’illustration dans les sources un exemple de générateur conforme au RGPD).
Grosso modo, dans sa forme la plus minimaliste, un tel document devra répondre aux questions suivantes :
J’emploie volontiers pour désigner les réflexions ci-avant une expression qu’Amber Case avait utilisée dans l’un de ses exposés : la MVPP – Minimum Viable Privacy Policy – c’est-à-dire la plus petite déclaration de confidentialité viable.
Le point concernant les données qui sont transmises et les tiers qui en sont les destinataires est notamment très important. Si la situation devait changer, il faut dans tous les cas actualiser très rapidement cette rubrique.
Pour ce qui concerne justement la déclaration de confidentialité, on peut encore faire un pas important en direction de l’utilisateur et établir quelque chose comme une Privacy User Experience (PUX). Les mots-clés sont ici simplifier et consolider. Une solution élégante consiste à élaborer avec un conseiller juridique une version complète et une version simplifiée de la déclaration de confidentialité. Avec une telle démarche, la déclaration de confidentialité actuelle pourrait être complétée par un bref condensé.
La rubrique d’aujourd’hui s’est moins consacrée à la mise en pratique au plan graphique du concept de la Privacy by Design sur des sites Web qu’au choix des mots justes et à la réponse à des questions importantes pour l’utilisateur. Les mots sont eux aussi un composant essentiel de chaque design.
La transparence devient le point décisif pour la mise en pratique du RGPD et dans le processus Private by Design.