Nouvelles lignes directrices sur les principes du respect de la vie privée dès la conception et par défaut

GDPR pour les RH

En octobre 2020, le Comité européen de la protection des données a publié de nouvelles lignes directrices sur les principes du respect de la vie privée dès la conception et par défaut. Cela vient de la conviction que la vie privée et la protection des données personnelles sont fondamentales et nécessaires, en particulier lors de la définition et du développement des processus d’entreprise.

Ces nouvelles lignes directrices font notamment référence à l’interprétation de l’article 25 du RGPD et au principe fondamental selon lequel le développeur de logiciels doit comprendre pleinement les principes de protection des données personnelles et les droits et libertés qui y sont liés, en développant des systèmes et des mesures de protection adéquats nécessaires pour sauvegarder les données personnelles d’une part et la liberté de développement d’autre part.

Les nouvelles lignes directrices précisent les principes de protection de la vie privée lors de la conception et par défaut, ainsi que des recommandations aux développeurs de logiciels afin d’atteindre les objectifs de protection fixés, notamment par l’adoption de certifications et de codes de conduite sur mesure.

Les principes de la protection des données par conception doivent être mis en œuvre au moment où le propriétaire définit les moyens de traitement des données à caractère personnel. Cette période correspond au moment où les moyens, méthodes et mécanismes qui seront utilisés pour effectuer le traitement sont établis. C’est à ce moment que le développeur doit déjà mettre en place toutes les mesures nécessaires à la mise en œuvre effective du principe de respect de la vie privée dès la conception, en tenant compte de facteurs tels que l’état de la technique, le coût des mises en œuvre nécessaires, la nature, la finalité, le contexte, l’objectif et le risque. Il est donc également souligné que, dans le cadre d’une analyse coûts-avantages, l’entrepreneur doit immédiatement tenir compte de l’objectif de respect de la vie privée dès la conception, car il pourrait certainement être beaucoup plus coûteux d’intervenir après coup pour remédier à un processus déjà entamé.

Une fois le processus lancé, le développeur a en tout cas la charge de maintenir la norme définie, en tenant compte également du niveau de risque qui pourrait changer pendant la phase de conception et en obligeant l’entrepreneur à réévaluer les mesures de sécurité déjà mises en œuvre.

Les nouvelles lignes directrices précisent que cette obligation de maintenir/superviser/adapter le système de protection de la vie privée par conception et par défaut est également obligatoire en ce qui concerne les systèmes préexistants au RGPD, qui doit donc être conforme aux nouvelles lignes directrices.

Par la définition “par défaut“, on entend plutôt les choix inhérents aux options de configuration et de traitement offertes dans un système tel qu’un logiciel. Le responsable du traitement doit d’abord définir les raisons pour lesquelles les données à caractère personnel sont collectées et conservées. Il s’ensuit que par défaut, le propriétaire ne peut pas :

  • collecter plus de données que ce qui est réellement nécessaire ;
  • conserver les données pendant une période plus longue que nécessaire ;
  • traiter des données pour des raisons autres que celles préalablement autorisées par la personne concernée.

Dans le cas où un contrôleur de données utilise un logiciel tiers, il doit procéder à une évaluation préalable des risques du produit afin de s’assurer de sa conformité avec les réglementations applicables et les objectifs de protection des données personnelles fixés par l’entrepreneur. D’une manière générale, les processus opérationnels doivent être développés afin de traiter le moins de données personnelles possible pour atteindre la finalité prévue, y compris en ce qui concerne les autorisations et l’accès au logiciel lui-même.

En conclusion, les nouvelles lignes directrices définissent comment un système efficace de mise en œuvre de mesures techniques et organisationnelles dans le cadre de la protection de la vie privée par défaut et par conception peut se résumer à l’identification d’un système de dimensionnement et de minimisation des données à caractère personnel par rapport à la finalité spécifique.

Nouvelles lignes directrices sur les principes du respect de la vie privée dès la conception et par défaut

GDPR pour les RH

En octobre 2020, le Comité européen de la protection des données a publié de nouvelles lignes directrices sur les principes du respect de la vie privée dès la conception et par défaut. Cela vient de la conviction que la vie privée et la protection des données personnelles sont fondamentales et nécessaires, en particulier lors de la définition et du développement des processus d’entreprise.

Ces nouvelles lignes directrices font notamment référence à l’interprétation de l’article 25 du RGPD et au principe fondamental selon lequel le développeur de logiciels doit comprendre pleinement les principes de protection des données personnelles et les droits et libertés qui y sont liés, en développant des systèmes et des mesures de protection adéquats nécessaires pour sauvegarder les données personnelles d’une part et la liberté de développement d’autre part.

Les nouvelles lignes directrices précisent les principes de protection de la vie privée lors de la conception et par défaut, ainsi que des recommandations aux développeurs de logiciels afin d’atteindre les objectifs de protection fixés, notamment par l’adoption de certifications et de codes de conduite sur mesure.

Les principes de la protection des données par conception doivent être mis en œuvre au moment où le propriétaire définit les moyens de traitement des données à caractère personnel. Cette période correspond au moment où les moyens, méthodes et mécanismes qui seront utilisés pour effectuer le traitement sont établis. C’est à ce moment que le développeur doit déjà mettre en place toutes les mesures nécessaires à la mise en œuvre effective du principe de respect de la vie privée dès la conception, en tenant compte de facteurs tels que l’état de la technique, le coût des mises en œuvre nécessaires, la nature, la finalité, le contexte, l’objectif et le risque. Il est donc également souligné que, dans le cadre d’une analyse coûts-avantages, l’entrepreneur doit immédiatement tenir compte de l’objectif de respect de la vie privée dès la conception, car il pourrait certainement être beaucoup plus coûteux d’intervenir après coup pour remédier à un processus déjà entamé.

Une fois le processus lancé, le développeur a en tout cas la charge de maintenir la norme définie, en tenant compte également du niveau de risque qui pourrait changer pendant la phase de conception et en obligeant l’entrepreneur à réévaluer les mesures de sécurité déjà mises en œuvre.

Les nouvelles lignes directrices précisent que cette obligation de maintenir/superviser/adapter le système de protection de la vie privée par conception et par défaut est également obligatoire en ce qui concerne les systèmes préexistants au RGPD, qui doit donc être conforme aux nouvelles lignes directrices.

Par la définition “par défaut“, on entend plutôt les choix inhérents aux options de configuration et de traitement offertes dans un système tel qu’un logiciel. Le responsable du traitement doit d’abord définir les raisons pour lesquelles les données à caractère personnel sont collectées et conservées. Il s’ensuit que par défaut, le propriétaire ne peut pas :

  • collecter plus de données que ce qui est réellement nécessaire ;
  • conserver les données pendant une période plus longue que nécessaire ;
  • traiter des données pour des raisons autres que celles préalablement autorisées par la personne concernée.

Dans le cas où un contrôleur de données utilise un logiciel tiers, il doit procéder à une évaluation préalable des risques du produit afin de s’assurer de sa conformité avec les réglementations applicables et les objectifs de protection des données personnelles fixés par l’entrepreneur. D’une manière générale, les processus opérationnels doivent être développés afin de traiter le moins de données personnelles possible pour atteindre la finalité prévue, y compris en ce qui concerne les autorisations et l’accès au logiciel lui-même.

En conclusion, les nouvelles lignes directrices définissent comment un système efficace de mise en œuvre de mesures techniques et organisationnelles dans le cadre de la protection de la vie privée par défaut et par conception peut se résumer à l’identification d’un système de dimensionnement et de minimisation des données à caractère personnel par rapport à la finalité spécifique.