7 principes pour le Privacy by Design – Renforcer le respect de la protection des données

Utiliser le "Privacy by Design" pour permettre un meilleur respect de la protection des données

Privacy by Design : voici les sept principes qui renforceront le respect de la protection des données, quel que soit l’endroit où vous exercez vos activités sur Terre

Privacy by Design (Vie privée dès la conception)  : voici les sept principes qui renforceront le respect de la protection des données, quel que soit l’endroit où vous exercez vos activités sur Terre

Les lois sur la protection de la vie privée ont fait de plus en plus la une des journaux ces dernières années et cette tendance devrait se poursuivre à mesure que la numérisation devient une tendance de fond dans presque tous les secteurs de l’économie. Une force motrice tout aussi puissante qui permettra de maintenir la protection des données au premier rang des efforts de conformité des entreprises et de la liste de surveillance réglementaire est la sensibilisation croissante des personnes concernées, c’est-à-dire des gens ordinaires comme vous et moi, à leurs droits en vertu des réglementations sur la protection des données dans le monde entier.

Bien entendu, à mesure que la protection de la vie privée devient une tendance mondiale, le nombre de lois visant à codifier les droits et obligations relatifs aux données personnelles ne cesse de croître. EU’s GDPR a lancé la tendance il y a environ un an, suivi par le Indian Data Protection Bill (IDPB) devrait mettre le régime de protection des données de l’Inde sur la même longueur d’onde que celui de l’Europe. La Californie, l’État américain qui possède la plus grande économie, a voté un nouveau régime de protection des données, le CCPA, qui aspire à accorder aux consommateurs californiens des droits comparables à ceux dont jouissent les Européens sur leurs données personnelles. Enfin et surtout, la Chine a récemment annoncé qu’elle avait commencé à travailler sur sa première loi jamais axée uniquement sur la protection des données, la Personal Information Protection Law (PIPL). Ajoutez à ces précurseurs les dizaines de juridictions nationales qui actualisent leur législation existante (par exemple le Japon) ou introduisent pour la première fois une législation sur la protection des données (par exemple la Thaïlande) et vous obtenez un paysage réglementaire qui n’est pas du gâteau pour les organisations faisant des affaires dans plusieurs régions du monde.

Si la seule façon sûre et saine d’atteindre des normes crédibles en matière de protection de la vie privée est de mettre en place des programmes de conformité qui tiennent compte des exigences spécifiques de tous les régimes de protection des données auxquels une entreprise doit se conformer en fonction du lieu et de la personne à qui elle offre ses produits et services, il existe sept principes fondamentaux qui, s’ils sont respectés, ne feront que du bien et ne nuiront pas à vos efforts de conformité en matière de protection des données. Collectivement appelés « privacy by design » (souvent abrégé en « PbD »), ces sept règles de base sont au cœur de tout cadre réglementaire de protection des données, tandis que de nombreuses lois contiennent des dispositions qui font de l’adhésion à cette boîte à outils une exigence explicite.

Les 7 principes du Privacy by Design

C’est le « septalogue » du la vie privée dès la conception (Privacy by Design) :

1. Proactif et non réactif, préventif et non correctif.

vos efforts en matière de protection de la vie privée doivent être proactifs et non réactifs, préventifs et non correctifs. En d’autres termes, un bon programme de protection des données doit avoir pour objectif la protection de la vie privée et ne pas se contenter de se préparer à atténuer les dommages causés à la vie privée.

2. La vie privée comme paramètre par défaut

offrir vos produits et services en respectant par défaut la vie privée. Le fait de piéger les gens pour qu’ils vous donnent leurs données sans le savoir ne vous fera pas de bien à long terme. Il suffit d’une seule déclaration à une autorité de protection des données pour mettre en lumière toutes les pratiques abusives d’une organisation en matière de collecte de données.

3. La protection de la vie privée intégrée à la conception

Dès maintenant, faites en sorte que les caractéristiques de protection de la vie privée fassent partie intégrante du processus de conception de chacun de vos produits et services dès la phase de conception. Si vous n’avez pas les moyens de revoir en masse votre catalogue de produits existant, faites de l’examen de la protection de la vie privée une priorité absolue de votre prochaine mise à jour de produit au plus tard.

4. Somme positive, et non somme nulle

Pleine fonctionnalité – somme positive, pas somme nulle. Vous ne devez pas obliger les consommateurs à choisir entre des options apparemment contradictoires, telles que le respect de la vie privée ou la sécurité. Ces deux objectifs sont et doivent être complémentaires et il est du devoir d’une organisation de les faire fonctionner. Transmettre ce fardeau de choix à vos clients ne vous mènera pas loin.

5. Une sécurité de bout en bout

Protection tout au long du cycle de vie. La protection de la vie privée dès la conception ne signifie pas que, du simple fait que vous proposez la protection de la vie privée comme paramètre par défaut dans la version standard de vos produits, vos obligations en tant qu’organisme de collecte de données s’arrêtent là. La collecte légale de données va de pair avec leur protection adéquate pendant qu’elles sont en votre possession et avec leur élimination soigneuse et sûre une fois que vous n’en avez plus besoin. Des paramètres élevés de protection de la vie privée et de sécurité devraient vous définir en tant que collecteur et détenteur de données dès le moment où vous mettez la main sur les données des personnes jusqu’à ce que vous les éliminiez de manière sûre et irrévocable.

6. Restez ouvert

Visibilité et transparence – gardez l’esprit ouvert. Soyez franc avec vos clients en ne vous contentant pas de leur assurer que vous prenez bien soin de leurs données, mais en leur expliquant réellement comment vous procédez. Plus vous serez transparent sur les efforts précis que vous faites pour respecter votre parole en matière de protection de la vie privée, mieux ce sera. Cela peut être facilement vérifié par les organismes de traitement plus indulgents dont ont bénéficié les violations de données, à condition qu’ils parlent franchement de ce qui a mal tourné et de tous les efforts qu’ils ont déployés pour éviter que l’accident ne se produise.

7. Restez centré sur l’utilisateur

Le respect de la vie privée des utilisateurs – rester centré sur l’utilisateur. Globalement, la vie privée doit être visible, facile à comprendre et à gérer et, surtout, facile à restaurer pour l’utilisateur moyen. En d’autres termes, votre programme de protection de la vie privée ne parviendra pas à convaincre une autorité de contrôle s’il est étendu mais compliqué. La sophistication est une bonne chose, mais elle ne doit pas être synonyme de complexité ; tous vos clients ne sont pas des maniaques du contrôle qui creusent en profondeur les paramètres de votre produit pour s’assurer que vous prenez bien soin de leurs données personnelles, ce qui n’est pas le cas.

Xenofon Kontargyris is a lawyer specializing in data protection and IT law, particularly in cybersecurity and IT outsourcing. He holds a PhD from the Faculty of Law of the University of Hamburg (UHH) for writing a doctoral thesis on “IT Laws in the Era of Cloud-Computing; A Comparative Analysis between EU and US Law on the Case Study of Data Protection and Privacy” (2018, NOMOS Verlag). Xenofon is also a CIPP/E certified member of the International Association of Privacy Professionals (IAPP).

Comments are closed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More