Comme le célèbre adage le préconise, « mieux vaut prévenir que guérir ». C’est exactement ce que les institutions de l’Union européennes ont souhaité instaurer au travers de son article 25 du Règlement Général sur la Protection des Données.

Une obligation réglementaire

La notion de protection des données dès la conception, ou privacy by design en anglais, figure comme une nouvelle obligation proposée par ce Règlement et prend sa source dans un concept connexe. Alors que la réglementation antérieure se fondait essentiellement sur une logique déclarative auprès de l’Autorité de contrôle, la notion d’accountability induite par ce même règlement vise à responsabiliser les acteurs en leur imposant la tenue d’une documentation de conformité.

Dès lors, le responsable de traitement n’aura d’autre choix que de formaliser les mesures de protections qu’il aura choisi vis-à-vis d’un traitement avant même sa mise en œuvre. Celui-ci est donc contraint à une démarche proactive afin de garantir aux personnes concernées que l’ensemble des éléments incontournables de la réglementation en vigueur sont pris en compte dans le traitement.

Il ne s’agit pas seulement de prévoir des mesures de sécurité techniques et organisationnelles, mais également d’envisager la matérialisation de l’ensemble des exigences assurant la protection des données. Ainsi, tant l’exercice des droits des personnes concernées que les durées de conservation ou encore les relations avec d’éventuels sous-traitants, impliquant d’ailleurs de potentiels transferts en dehors de l’union européennes, doivent être pensés et documentés en amont.

Une approche pratico-pratique

Cette démarche implique par essence une organisation, ou une réorganisation, permettant la réalisation de ces réflexions. Allant de pair avec les missions du Délégué à la protection des données, ce dernier doit ainsi être consulté voir intégré dans les processus de création de nouveaux traitements. C’est une véritable culture de la protection des données qui doit être diffusée au sein de l’organisme concerné.

La notion apparait d’autant plus fondamentale lorsque l’on constate la prolifération de projets innovants et d’utilisation de nouvelles technologies, impliquant souvent le traitement d’un grand volume de données et parfois identifiées comme sensible au sens du RGPD, à l’instar des données de santé.

7 principes fondamentaux

Pour mettre en pratique cette notion, il est possible de se fonder sur 7 principes fondamentaux proposés par Ann Cavoukian, ex-commissaire à l’information et à la protection de la vie privée de l’Ontario :

• Une démarche proactive
• Et inscrite dans la phase la plus élémentaire de la conception du traitement
• Des mesures de protection ne nécessitant aucune intervention de la part de la personne concernée
• Et qui ne sont pas le résultat de compromis
• Une protection ayant pour vocation à s’établir durant tout le cycle de la vie des données
• Fournir une visibilité et une transparence accrue sur le projet à l’ensemble des acteurs concernés
• Mettre au cœur de celui-ci les droits et libertés des personnes concernées

C’est évidemment avec le soutien des autorités de contrôle que ces mécanismes, parfois complexes, doivent s’appliquer. La CNIL, également inscrite dans une démarche proactive sur la notion, propose une pluralité de guides et boites à outils adaptés à des domaines spécifiques.

Dans la mesure où vous seriez confronté à cette problématique, Achille-Solutions vous aide et vous conseille dans vos démarches.