Lexique IT
Protection des données par défaut et par design (Data protection by default and design)
La protection des données dès la conception et par défaut, ou « privacy by design and by default » en anglais, participe du principe d’accountability auquel est soumis le responsable du traitement.
L’obligation essentielle résultant de l’obligation de protection des données dès la conception et par défaut consiste en la mise en œuvre des mesures appropriées et des garanties nécessaires pour assurer, dès la conception et par défaut, la mise en œuvre effective des principes de protection des données et, par conséquent, des droits et libertés des personnes concernées.
Dès la planification d’un nouveau traitement, avant sa mise en œuvre et de manière continue une fois mis en œuvre le cas échéant, le responsable du traitement doit prendre en considération l’obligation de protection des données dès la conception et par défaut.
Le responsable du traitement doit veiller à ce que le traitement soit constamment mis à jour conformément au RGPD en assurant une protection appropriée et effective des données.
La protection des données dès la conception et la protection des données par défaut constituent une obligation pour tous les responsables de traitements, indépendamment de la taille et du degré de complexité desdits traitement.
Toutefois, la complexité de la mise en œuvre de la protection peut varier en fonction de l’opération de traitement concernée.
Les mesures de protection des données dès la conception et par défaut peuvent consister, entre autres :
- A réduire à un minimum le traitement des données à caractère personnel ;
- A pseudonymiser les données à caractère personnel dès que possible ;
- A garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel ;
- A permettre à la personne concernée de contrôler le traitement des données la concernant,
- A permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.
Point RGPD
« La protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d’être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. »
Point jurisprudence
L’autorité de contrôle italienne indique qu’:
« en considération du risque qui pèse sur les droits et libertés des personnes concernées, le responsable du traitement, en recourant également au soutien du délégué à la protection des données, doit » dès la conception » et » par défaut » (article 25 du règlement) adopter des mesures techniques et organisationnelles adéquates pour mettre en œuvre les principes de protection des données (article 5 du règlement), tels que les principes de minimisation et de limitation de la conservation visés aux articles. 5, par. 1, lett. c) et e), du règlement) et intégrer dans le traitement les garanties nécessaires pour répondre aux exigences du règlement et protéger les droits et libertés des personnes concernées.
Cela vaut également lorsque le responsable du traitement utilise des produits ou des services proposés par des tiers, en donnant, si nécessaire, les instructions nécessaires au sous-traitant et en veillant, par exemple, à désactiver les fonctions qui n’ont pas de base juridique ou qui ne sont pas compatibles avec les finalités du traitement. »
Garante per la protezione dei dati personali, 16 septembre 2021, N°9703988
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.