Le principe de Privacy by Design dans le cadre du RGPD
Dans le cadre de la mise en conformité relative au Règlement Général de la Protection des Données, l’ensemble des projets de l’entreprise est impacté. En effet, le respect de la vie privée des consommateurs demande la mise en place de bonnes pratiques, et une forte sensibilisation de chaque personne. L’intégration du Privacy by design paraît inévitable pour toutes les organisations qui traitent des données personnelles. Cette façon de procéder permet à la fois de gagner du temps lors des processus de mise en conformité. Mais elle minimise aussi les risques de plaintes, ou encore de sanctions en cas de contrôle.
Définition du Privacy by Design
Le Privacy by design est une méthodologie qui consiste en la prise en compte dès le début des projets de création de produits, ou de services au sein d’une entreprise, des enjeux liés au RGPD. Les différents critères de mise en conformité sont en effet étudiés dans le but de respecter la vie privée des consommateurs, leur assurer la maîtrise de leurs données personnelles, mais aussi leur sécurité. Le Privacy by design est grandement recommandé. Il demande la prise en compte des cadres juridiques des différentes actions réalisées au sein de l’entreprise, ainsi qu’une véritable structuration des bases de données. Le DPO, ou délégué à la protection des données, assure alors la création des documents demandés (exemple : registre des activités).
Les enjeux du Privacy by Design
Mettre en œuvre le Privacy by design fait de la mise en conformité RGPD un élément décisif dans les prises de décision et la gestion de projet. Il oriente directement les interfaces, les fonctionnalités, et le traitement en arrière-plan des données pour permettre la naissance des produits ou services.
Pour intégrer le Privacy by design, les mesures vont bien au-delà de la simple étude d’interfaces de consentement. Il faut en effet une implication de la part de chaque échelon hiérarchique, et à travers tous les services d’une même entreprise.
En conséquence, le choix des fournisseurs et/ou des sous-traitants pour un projet intègre la conformité au RGPD dans les critères d’achat.
Mettre en place une charte
Documentation interne indispensable, une charte RGPD permet de formaliser l’ensemble des bonnes pratiques. C’est un document de référence auprès duquel chacun peut se référer en cas de doute. Il s’agit aussi d’un outil de communication pour la sensibilisation des équipes, ainsi que dans le but de valoriser la prise en compte de la vie privée des utilisateurs et de leurs informations personnelles auprès d’interlocuteurs externes.
Les campagnes de sensibilisation
Réunion, débat, table ronde, affichages, et formation sont autant de dispositifs qu’une entreprise peut utiliser pour sensibiliser les collaborateurs. Cette démarche est essentielle. Elle permet en effet de mieux faire accepter les exigences apportées lors de l’instauration du RGPD, et d’assurer l’implication de chacun dans la mise en place du Privacy by design lors de nouveaux projets.
Intégrer de façon formelle les règles liées à la protection de la vie privée
Le Privacy by design doit progressivement faire partie de la culture de l’entreprise, et être appliqué de façon naturelle. La création d’outils de vérification de la conformité au RGPD, telle que la charte précédemment citée, formalise les bonnes pratiques à avoir. Lors du démarrage de nouveaux projets, création d’un nouveau service, recherche d’un nouveau produit à lancer sur son marché, le cahier des charges doit alors intégrer tous les besoins relatifs aux exigences demandées par la loi aux responsables de traitements, et leurs sous-traitants.
Le cahier des charges matérialise les différentes fonctionnalités indispensables, notamment pour les formulaires de consentement et la structuration des données. Une relecture juridique permet par ailleurs de valider les messages qui peuvent être contenus dans les interfaces. Le Privacy by design, limite les abandons tardifs de parties d’un projet en raison des infractions qu’elles pourraient provoquer. En ce sens, il s’agit d’une méthodologie qui figure comme étant un réel gain de temps et de productivité. Non seulement une entreprise qui ne respecte pas les réglementations en vigueur risque des sanctions sévères, mais sa réputation est également entachée auprès de ses clients.
Le rôle du DPO est à ce moment particulièrement central. Référent dans l’entreprise pour les questions qui concernent le respect de la vie privée, il est en mesure de piloter les questionnements de chaque service pour l’application du Privacy by design. De la création des messages marketing jusqu’à la gestion des bases de données et de la cybersécurité, la mise en conformité RGPD a des conséquences globales.
Deux exemples de bonnes pratiques RGPD
Le pilotage des projets pour la mise en œuvre du Privacy by design demande de véritables compétences techniques, ainsi qu’un respect méticuleux du cadre juridique qu’implique le RGPD. Nous vous présentons deux éléments concrets à intégrer à vos projets… parmi beaucoup d’autres !
Pseudonysation des données personnelles
Ce procédé technique de structuration de la donnée permet de ne pas être capable d’identifier un individu sans disposer d’information complémentaire. En conséquence, les données sont séparées selon leurs usages, et sont contenues dans une base dédiée à une finalité précise. La pseudomysation demande des compétences techniques et en ingénierie des systèmes d’information.
Minimisation des données personnelles
Le principe est simple. La minimisation demande de collecter le moins de données possible, et uniquement celles qui sont nécessaires à l’exercice de leurs finalités. Cela présente des avantages qui dépassent la conformité au RGPD. En effet, cela permet de favoriser les taux de consentement, en communiquant la collecte de données dont le consommateur comprend l’usage. Aussi, la consommation de ressources en termes de stockages de données est-elle moindre. Sur plusieurs mois ou années, selon l’activité de l’entreprise, ce n’est pas une économie négligeable !
Le Privacy by design intègre la considération du RGPD dans tous les projets de l’entreprise, et dès les phases de conception. Il s’agit non seulement d’une méthodologie qui permet de favoriser la mise en conformité, mais elle facilite aussi l’intégration des différentes bonnes pratiques.
