7 jours, 7 pas dans la bonne direction : le nouveau RGPD - Privacy by Design comme concept de base (Intro)
- Publié le 14.05.2018
Le 25 mai 2018, le règlement européen sur la protection des données personnelles (RGPD) entrera enfin en vigueur.
A l'avenir il faudra tenir compte - comme le stipule l’article 25 du règlement - de la protection des données personnelles, et cela dès le départ et à chaque étape, dans tous les processus et systèmes et pour tous les produits.
L’article 25 nomme cela la Privacy by Design (protection des données dès la conception).
Mais qu’est-ce que cela signifie au juste ?
L’auteur s’attachera à répondre à cette question au cours des sept prochains jours et nous en expliquera les principes élémentaires essentiels au fil d’une série de sept articles.
Il n’est pas question ici de l’architecture des systèmes informatiques ou des processus commerciaux. Non, l’auteur examine le thème du point de vue de l’utilisateur d’un site Web.
Du point de vue de l’utilisateur en effet, la protection tangible des données sur l’Internet commence au niveau de l’interface entre l’homme et la machine – l’interface utilisateur – c’est-à-dire la partie visible d’un site Internet.
C’est précisément au niveau de cette interface que l’on peut déjà faire beaucoup de choses pour mettre en œuvre la Privacy by Design.
Mais venons-en aux choses sérieuses ! C’est quoi au fait la Privacy by Design et quelle en est l’origine ?
Le concept de la Privacy by Design a été développé au Canada en 1990. Il a été inventé et initié par Ann Cavoukian, en son temps chargée de la protection des données personnelles en Ontario. Elle s’était penchée sur le problème faisant que les développeurs de logiciels ne s’occupaient de la protection des données qu’une fois qu’un projet avait été mené à terme :
« Le framework Privacy by Design empêche les violations des règles de protection des données avant qu’elles ne se produisent. Le concept de Privacy by Design n’attend pas que se présentent les risques pour la protection des données, il ne propose aucune solution pour remédier aux violations des données personnelles dès qu’elles sont commises ; la Privacy by Design doit empêcher leur survenance. En bref, la Privacy by Design s’applique par anticipation et non pas suite à un incident. » (Dr. Ann Cavoukian)
Le Privacy by Design-Framework ci-dessus s’appuie sur sept principes fondamentaux :
- La protection des données doit être proactive, et non réactive. Il faut prévenir les problèmes de protection des données avant qu’ils ne touchent l’utilisateur. C’est une prévention au lieu d’un remède.
- La protection des données doit être un paramétrage standard. Un utilisateur ne doit pas avoir à prendre de mesures pour protéger sa sphère privée.
- La protection des données doit être intégrée dans la conception en tant que fonction centrale, et pas comme un Add-On.
- Pleine fonctionnalité et sûreté absolue des données. La Privacy by Design établit un équilibre entre la sphère privée et la sécurité.
- La protection des données doit offrir une protection de bout en bout des données des utilisateurs, sur toute la durée du cycle de vie de ces données.
- Les standards de la protection des données doivent être visibles, transparents, ouverts, documentés, prouvables individuellement et supporter une vérification externe.
- La protection des données doit être orientée utilisateur. Cela signifie des options granulaires de protection des données pour les utilisateurs, des exigences maximisées en matière de protection des données, des indications détaillées sur la protection des données, des options conviviales ainsi que la fourniture d’une information claire sur les changements.
Voici pour ce qui est des fondements. Au fil des sept prochains jours, l’auteur en précisera d’article en article les différents points au moyen d’exemples et tentera de fournir au gré de cette série un guide succinct pour que le lecteur puisse mettre en application la Privacy by Design sur son propre site Internet.
Remarque : cette série ne veut pas être un guide juridique contraignant et ne doit donc pas être comprise comme tel. Elle se contente de préciser ce que signifie le thème Privacy by Design, c.-à-d. la protection des données dès la conception, pour en simplifier la mise en pratique.
Au sujet de l’auteur : Henning Fries travaille depuis plus de 15 ans comme UX architect, usability engineer, conceptioner, développeur et concepteur de site Web. Il fait régulièrement part de son expérience comme formateur et comme orateur dans des conférences internationales. Sa passion pour des concepts, des produits et des solutions bien recherchés, pleins d’idées et orientés utilisateurs s’étend de la plateforme numérique jusqu’aux applications mobiles en passant par les applications Web et desktop. Son travail porte surtout sur les effets de synergies entre l’interface utilisateur graphique et la préservation de la sphère privée des internautes.
Informations supplémentaires et sources
Privacy by Design - Une Introduction - Commissaire pour l’information et la protection des données en Ontario
Vue d’ensemble du RGPD - Commission européenne