Le principe de respect de la vie privée dès la conception (en anglais « privacy by design ») et celui de la protection des données par défaut (« privacy by default) sont devenus des éléments phares du Règlement Général sur la Protection des Données (RGPD). Ils figurent parmi les principes les plus contraignants pour les entreprises car ils portent sur la conception même de leurs produits et services.
Les concepts de protection de la vie privée “dès la conception” ou “par défaut” ont été créés dans les années 90. Ils ont pour vocation d’introduire une composante “vie privée” dans la technologie. L’objectif est d’amener les entreprises à suivre un ensemble de principes et de pratiques visant à anticiper les risques d’exploitations abusives des données et les minimiser lorsqu’ils surviennent.
Des concepts anciens dans un nouveau règlement
A l’origine de ces concepts se trouve l’idée selon laquelle le simple cadre règlementaire serait insuffisant à assurer une protection satisfaisante des données personnelles. Il convenait d’aller plus loin et de sensibiliser les entreprises au niveau de la réalisation même de leurs produits et services. Ces principes ont été intégrés dans le RGPD. Ils sont présentés dans l’article 25 : « Protection des données dès la conception et protection des données par défaut ».
> Le concept de protection de la vie privée dès la conception impose aux entreprises d’assurer des mesures préventives plutôt que correctives. Elles doivent trouver des solutions en amont, au niveau de la conception des produits et services, sans attendre l’existence d’une faille de sécurité pour agir.
> Le principe de protection de la vie privée par défaut impose aux entreprises de paramétrer par défaut leurs produits avec un haut niveau de protection avant toute utilisation. En d’autres termes, lors de sa première utilisation, l’utilisateur ne devrait pas avoir besoin de modifier les paramètres pour renforcer la protection de ses données ; tout devrait être déjà préconfiguré. Cette protection “par défaut” garantit également aux utilisateurs d’éviter que leurs données ne soient utilisées dans un but autre que celui pour lequel la collecte a été effectuée.
Des lignes de conduite insuffisantes
Cette position du législateur, certes pragmatique, n’est pas sans susciter quelques interrogations. Le règlement s’adresse à plusieurs millions d’entreprises en Europe. Le nombre de produits et services concernés est incalculable. Le règlement reste évasif sur la description de ces concepts. Il évoque la mise en œuvre de « mesures techniques et organisationnelles appropriées ». S’agissant plus particulièrement de la protection des données dès la conception, il ne donne que trois exemples de mesures :
> la pseudonymisation des données : ce sont les mesures empêchant d’associer des données à une personne physique précise sans avoir recours à des informations supplémentaires.
> la minimisation des données : les entreprises ne peuvent utiliser pour les traitements que des données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire.
> le chiffrement des données : ce sont les procédés cryptographiques permettant de garantir la confidentialité.
Ces indications ne sont pas suffisantes. Pour pallier les manques du règlement, les autorités nationales de contrôle, telles que la CNIL, ou le groupe de travail de l’Article 29, (le G29), réunissant ces autorités émettent des recommandations additionnelles. Le G29 a par exemple édité un guide concernant la création d’applications mobiles. La CNIL, quant à elle, préconise d’utiliser la méthode d’évaluation des risques de sécurité EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Développée en 1995 par l’ANSSI (Agence Nationale de la Sécurité des Systèmes D’information), cette méthode permet d’identifier les vulnérabilités et de spécifier les exigences de sécurité à mettre en place. Ces recommandations pourraient s’avérer trop complexes à mettre en place pour les entreprises n’ayant pas d’équipe dédiée à la sécurité informatique. Néanmoins, elles peuvent constituer une source d’information pour les délégués à la protection des données. Dans tous les cas, les entreprises devraient s’intéresser rapidement à cette problématique. Une prise de conscience trop tardive risque de s’avérer coûteuse par la suite.