Nous mettons en ligne, de manière pério­dique, les contri­bu­tions d’au­teurs externes nous ayant fait l’hon­neur d’ac­cep­ter d’ac­com­pa­gner le lance­ment de Swissprivacy. Nous accueillons cette semaine la contri­bu­tion de Sylvain Métille, Professeur asso­cié à l’UNIL et avocat asso­cié au sein de l’Étude HDC.

L’adoption le 20 octobre 2020 par le Comité euro­péen de la protec­tion des données des Lignes direc­trices 4/​2019 sur la protec­tion des données dès la concep­tion et par défaut) est l’occasion de reve­nir sur la notion de protec­tion des données dès la concep­tion (« privacy by design »).

En bref, le respon­sable du trai­te­ment doit prendre, dès la concep­tion du trai­te­ment, des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin que le trai­te­ment respecte les prin­cipes rela­tifs à la protec­tion des données et offre les garan­ties néces­saires afin de proté­ger les droits de la personne concer­née (art. 25 RGPD, 7 nLPD et 5 LPDS).

Ce concept n’est pas nouveau. Il repose sur les sept prin­cipes déve­lop­pés notam­ment par Ann Cavoukian, ancienne Commissaire à l’in­for­ma­tion et à la protec­tion de la vie privée de l’Ontario (Canada), qui ont été adop­tés à fin 2010 par la 32^e Conférence inter­na­tio­nale des auto­ri­tés de protec­tion des données à Jérusalem (2010). Ceux-ci ont la teneur suivante :

1. prendre des mesures proac­tives et non réac­tives, des mesures préven­tives et non correc­tives (prévoir et préve­nir les inci­dents liés à l’atteinte de la vie privée avant même qu’ils ne se produisent) ;
2. assu­rer la protec­tion impli­cite de la vie privée (faire en sorte que les données person­nelles soient proté­gées de manière auto­ma­tique avec un para­mé­trage par défaut des nouvelles tech­no­lo­gies assu­rant un niveau de protec­tion maxi­mum des données sans que l’utilisateur n’ait à défi­nir de para­mètres spécifiques) ;
3. inté­grer la protec­tion de la vie privée dans la concep­tion des systèmes et des pratiques ;
4. assu­rer une fonc­tion­na­lité complète selon un para­digme à somme posi­tive et non à somme nulle (assu­rer la protec­tion de la vie privée sans nuire à la mise en œuvre d’autres fonctionnalités) ;
5. assu­rer la sécu­rité de bout en bout, pendant toute la période de conser­va­tion des renseignements ;
6. assu­rer la visi­bi­lité et la trans­pa­rence (chaque élément inté­gré aux systèmes lié à la protec­tion des données person­nelles doit rester visible et trans­pa­rent en cas de véri­fi­ca­tion indépendante) ;
7. respec­ter la vie privée des utilisateurs.

L’idée fonda­men­tale de la protec­tion des données dès la concep­tion est de consi­dé­rer que la majo­rité des viola­tions de la sphère privée ne sont pas détec­tées. Plutôt que de cher­cher à répa­rer celles que l’on détecte, mieux vaut empê­cher qu’elle ne se produise. Autre point impor­tant, il ne s’agit pas d’un jeu à somme nulle avec un gagnant et un perdant. La protec­tion des personnes ne doit pas empê­cher le trai­te­ment des données, mais il doit simple­ment garan­tir un trai­te­ment respectueux.

Cette obli­ga­tion ne s’applique direc­te­ment qu’au respon­sable du trai­te­ment, mais de fait elle doit aussi être prise en compte par les fabri­cants de produits, les pres­ta­taires de services et les déve­lop­peurs d’ap­pli­ca­tions. Plus on agit tôt, plus il est facile de rendre le trai­te­ment conforme.

Cette obli­ga­tion n’est pas abso­lue, mais elle doit être propor­tion­née. Premièrement, les mesures prises doivent être aptes et effi­caces. Deuxièmement, l’approche est basée sur la gestion du risque : on pren­dra compte de l’effort requis par ces mesures et des moyens tech­niques dispo­nibles d’une part, ainsi que des risques que repré­sentent le trai­te­ment pour les personnes d’autre part. Troisièmement, les mesures ne sont pas prises une fois pour toutes, mais doivent être mises à jour régulièrement.

Malgré le prin­cipe 2 ci-dessus, la protec­tion des données dès la concep­tion doit être distin­guée de la protec­tion des données par défaut, qui, dit de manière simpli­fiée, oblige le respon­sable du trai­te­ment à régler les para­mètres par défaut sur le mode le plus protec­teur de la sphère privée, l’utilisateur étant libre de les modi­fier. Pour des raisons pratiques évidentes, la concré­ti­sa­tion de ces deux prin­cipes est souvent trai­tée conjointement.

La protec­tion des données dès la concep­tion n’implique pas obli­ga­toi­re­ment des mesures tech­niques compli­quées. Par exemple, dans le cadre de l’obligation faite aux restau­ra­teurs de collec­ter les coor­don­nées de leurs clients dans le cadre de la lutte contre l’épidémie de la COVID-19, le formu­laire papier à l’entrée du restau­rant qui expose toutes les infor­ma­tions des clients précé­dents n’est pas conforme. En revanche, le recours à des fiches indi­vi­duelles à glis­ser dans une sorte de boîte aux lettres n’exige pas de mesures compli­quées et seraient un exemple concret de protec­tion des données dès la conception.