Par Gérard HAAS et Bastien EYRAUD
Depuis le mois de mai dernier, le Règlement général sur la protection des données (RGPD) est applicable en France. Ce règlement vise à mieux encadrer la collecte et le traitement des données personnelles afin d’accroitre la protection des droits et libertés des utilisateurs d’internet.
En effet, la collecte des données personnelles, comporte un risque important d’atteinte à notre vie privée dans la mesure où elles fournissent une énorme quantité d’informations sur notre intimité.
Le RGPD a mis en place les principes de privacy by design et de privacy by default afin de renforcer la protection des utilisateurs.
1. Qu’est -ce que le privacy by design ?
Ce concept prévoit que les considérations de protection de la vie privée doivent être prises en compte dès la conception du produit ou du service amené à collecter, traiter ou utiliser des données personnelles. C’est à dire que le respect de la vie privée doit dès le départ constituer une préoccupation des développeurs afin de l’intégrer dans la structure même du service.
Par exemple, il faut au début de chaque projet prendre en considération le principe de minimisation des données personnelles qui veut que la collecte de données personnelles soit strictement limitée à ce qui est nécessaire à la réalisation du service. Aucune donnée superflue ne doit être collectée si elle n’a pas d’utilité pour le service.
2. Qu’est-ce que le privacy by default ?
C’est le corollaire du privacy by design, qui implique que dès la conception du service ou du produit, le plus haut niveau de protection de la vie privée soit mis en place et applicable par défaut.
C’est-à-dire que sans aucune intervention de la part de l’utilisateur, l’ensemble des mesures disponibles afin de protéger les données personnelles et d’en limiter la collecte doit être activé.
Ainsi par exemple, lors du téléchargement d’une application, il est souvent demandé l’autorisation d’accéder aux contacts ou à l’appareil photo ou encore au micro. C’est une application du privacy by default dans la mesure ou l’accès à des données personnelles (contacts, photographies, sons) est soumis à l’autorisation préalable de l’utilisateur, sans quoi l’application n’y aura pas accès.
3. Quelles mesures concrètes mettre en place ?
Tout développement d’application, de site, ou de service en ligne doit dès l’origine prévoir des mesures aptes à garantir la vie privée de l’utilisateur. Ces mesures doivent s’appliquer par défaut, c’est-à-dire qu’elles doivent être appliquées par principe et qu’il faut une action délibérée pour les désactiver.
Ces mesures peuvent par exemple être la pseudonymisation des données personnelles qui à l’inverse de l’anonymisation est un procédé réversible à tout moment. En effet, anonymiser des données personnelles permet de les soustraire à l’application du RGPD dans la mesure où il est dès lors impossible d’identifier la personne à laquelle se rattache les données. Le lien rattachant la personne à ses données est supprimé définitivement.
En revanche, la pseudonymisation consiste à séparer et à isoler les données permettant d’identifier une personne. Toutefois, les éléments d’identification sont conservés de manière à pouvoir rétablir le lien si nécessaire. La pseudonymisation est dès lors une anonymisation temporaire qui protège la vie privée des utilisateurs en cas de piratage ou d’interception de données dès lors que les clés d’identification sont conservées en sécurité.
C’est également le chiffrement des données, c’est-à-dire l’utilisation d’un procédé de cryptographie qui rende illisibles les données personnelles à quiconque n’a pas la clé de déchiffrement pour les déchiffrer.
Le cabinet HAAS Avocats vous accompagne dans votre conformité RGPD, cliquez ici pour en savoir plus.
***