swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La notion de protection des données dès la conception

Sylvain Métille, le 9 novembre 2020
Nous mettons en ligne, de manière pério­dique, les contri­bu­tions d’au­teurs externes nous ayant fait l’hon­neur d’ac­cep­ter d’ac­com­pa­gner le lance­ment de Swissprivacy. Nous accueillons cette semaine la contri­bu­tion de Sylvain Métille, Professeur asso­cié à l’UNIL et avocat asso­cié au sein de l’Étude HDC.

L’adoption le 20 octobre 2020 par le Comité euro­péen de la protec­tion des données des Lignes direc­trices 4/​2019 sur la protec­tion des données dès la concep­tion et par défaut) est l’occasion de reve­nir sur la notion de protec­tion des données dès la concep­tion (« privacy by design »).

En bref, le respon­sable du trai­te­ment doit prendre, dès la concep­tion du trai­te­ment, des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin que le trai­te­ment respecte les prin­cipes rela­tifs à la protec­tion des données et offre les garan­ties néces­saires afin de proté­ger les droits de la personne concer­née (art. 25 RGPD, 7 nLPD et 5 LPDS).

Ce concept n’est pas nouveau. Il repose sur les sept prin­cipes déve­lop­pés notam­ment par Ann Cavoukian, ancienne Commissaire à l’in­for­ma­tion et à la protec­tion de la vie privée de l’Ontario (Canada), qui ont été adop­tés à fin 2010 par la 32e Conférence inter­na­tio­nale des auto­ri­tés de protec­tion des données à Jérusalem (2010). Ceux-ci ont la teneur suivante :

  1. prendre des mesures proac­tives et non réac­tives, des mesures préven­tives et non correc­tives (prévoir et préve­nir les inci­dents liés à l’atteinte de la vie privée avant même qu’ils ne se produisent) ;
  2. assu­rer la protec­tion impli­cite de la vie privée (faire en sorte que les données person­nelles soient proté­gées de manière auto­ma­tique avec un para­mé­trage par défaut des nouvelles tech­no­lo­gies assu­rant un niveau de protec­tion maxi­mum des données sans que l’utilisateur n’ait à défi­nir de para­mètres spécifiques) ;
  3. inté­grer la protec­tion de la vie privée dans la concep­tion des systèmes et des pratiques ;
  4. assu­rer une fonc­tion­na­lité complète selon un para­digme à somme posi­tive et non à somme nulle (assu­rer la protec­tion de la vie privée sans nuire à la mise en œuvre d’autres fonctionnalités) ;
  5. assu­rer la sécu­rité de bout en bout, pendant toute la période de conser­va­tion des renseignements ;
  6. assu­rer la visi­bi­lité et la trans­pa­rence (chaque élément inté­gré aux systèmes lié à la protec­tion des données person­nelles doit rester visible et trans­pa­rent en cas de véri­fi­ca­tion indépendante) ;
  7. respec­ter la vie privée des utilisateurs.

L’idée fonda­men­tale de la protec­tion des données dès la concep­tion est de consi­dé­rer que la majo­rité des viola­tions de la sphère privée ne sont pas détec­tées. Plutôt que de cher­cher à répa­rer celles que l’on détecte, mieux vaut empê­cher qu’elle ne se produise. Autre point impor­tant, il ne s’agit pas d’un jeu à somme nulle avec un gagnant et un perdant. La protec­tion des personnes ne doit pas empê­cher le trai­te­ment des données, mais il doit simple­ment garan­tir un trai­te­ment respectueux.

Cette obli­ga­tion ne s’applique direc­te­ment qu’au respon­sable du trai­te­ment, mais de fait elle doit aussi être prise en compte par les fabri­cants de produits, les pres­ta­taires de services et les déve­lop­peurs d’ap­pli­ca­tions. Plus on agit tôt, plus il est facile de rendre le trai­te­ment conforme.

Cette obli­ga­tion n’est pas abso­lue, mais elle doit être propor­tion­née. Premièrement, les mesures prises doivent être aptes et effi­caces. Deuxièmement, l’approche est basée sur la gestion du risque : on pren­dra compte de l’effort requis par ces mesures et des moyens tech­niques dispo­nibles d’une part, ainsi que des risques que repré­sentent le trai­te­ment pour les personnes d’autre part. Troisièmement, les mesures ne sont pas prises une fois pour toutes, mais doivent être mises à jour régulièrement.

Malgré le prin­cipe 2 ci-dessus, la protec­tion des données dès la concep­tion doit être distin­guée de la protec­tion des données par défaut, qui, dit de manière simpli­fiée, oblige le respon­sable du trai­te­ment à régler les para­mètres par défaut sur le mode le plus protec­teur de la sphère privée, l’utilisateur étant libre de les modi­fier. Pour des raisons pratiques évidentes, la concré­ti­sa­tion de ces deux prin­cipes est souvent trai­tée conjointement.

La protec­tion des données dès la concep­tion n’implique pas obli­ga­toi­re­ment des mesures tech­niques compli­quées. Par exemple, dans le cadre de l’obligation faite aux restau­ra­teurs de collec­ter les coor­don­nées de leurs clients dans le cadre de la lutte contre l’épidémie de la COVID-19, le formu­laire papier à l’entrée du restau­rant qui expose toutes les infor­ma­tions des clients précé­dents n’est pas conforme. En revanche, le recours à des fiches indi­vi­duelles à glis­ser dans une sorte de boîte aux lettres n’exige pas de mesures compli­quées et seraient un exemple concret de protec­tion des données dès la conception.



Proposition de citation : Sylvain Métille, La notion de protection des données dès la conception, 9 novembre 2020 in www.swissprivacy.law/26


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Sécurité des produits et protection des données : les assurer et les associer, ça coule de source
  • Recension: Michael Montavon, Cyberadministration et protection des données
  • La Suisse se dote (enfin) d'une nouvelle Loi fédérale sur la protection des données - Chronologie d’une saga…
  • Rapport concernant l’amélioration de la gestion des données dans le domaine de la santé
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law