• +352 2877 5961
  • “Terre Verte“ 70, route de Belval L-4024 Esch sur Alzette

Intégrer le privacy by design : graal du GDPR ?

Privacy by Design by Default

Lors de la mise au point d’une technologie ou d’un nouveau service, les entreprises manipulant des données à caractère personnel doivent prendre en compte de nombreuses contraintes afin d’atteindre les objectifs définis. Cependant avec la mise en application du Règlement Général de la Protection des Données (RGPD ou GDPR en anglais), de nouvelles problématiques se présentent aujourd’hui aux entreprises. Parmi elles figure le « privacy by design » (protection par défaut dès la conception). Ce concept a été formalisé dans les années 90 par Ann Cavoukian, préposée à la protection des données de l’Etat d’Ontario au Canada. Le « privacy by design » tend à mettre en avant l’importance de penser la protection de la vie privée et des données personnelles dès la phase de conception d’une technologie, d’un site internet ou application. En effet, les experts estiment que ces questions doivent se poser dès la phase de conception, afin de garantir le droit à la protection des données. Or actuellement cette dernière est prise en compte tardivement, à un moment où les modifications sont susceptibles d’engendrer des coûts importants.

 

« La protection de la vie privée dès la conception vise à agir de manière proactive et préventive, avant qu’une nouvelle technologie, parce qu’elle facilite le traitement de données personnelles, n’entraîne de nombreuses violations de la protection des données. » affirme Jean Christophe Schwaab, conseiller national vaudois. Ce concept s’inscrit ainsi naturellement dans le Règlement Général sur la Protection des Données et devra être pris en compte lors de sa mise en application. Si certains articles du GDPR posent question, le « privacy by design » permet aux sociétés d’anticiper des problématiques et de proposer une protection intégrale. Il permet en effet la gestion des données quelles que soient les opérations effectuées, comme le précise l’article 32 relatif à la sécurité des traitements : les données doivent être protégées de bout en bout, de leur collecte à leur suppression.

 

En septembre 2017, Equifax, une des trois plus importantes sociétés de notation de crédit américaine avouait s’être fait dérober les données à caractère personnel de 143 millions de personnes, soit 44% des américains. Juste pour ne pas avoir appliqué une mise à jour d’un outil de développement Apache dont la faille de sécurité était connue et le patch disponible. Cet exemple illustre parfaitement le problème qui se présente aux entreprises qui n’ont pas pris en compte ce concept : protéger l’infrastructure, la sécuriser par des procédures adaptées et une veille constante. Il est à noter qu’une fois la solution technique ou métier lancée, il n’est pas trop tard pour intégrer la protection des données. Avec la prochaine entrée en vigueur du GDPR, l’obligation de sécurisation des données sera définie beaucoup plus clairement et imposera à l’opérateur victime d’une violation de données d’en informer les autorités de contrôle voire les personnes dont les données ont été affectées. Aussi, former les personnes qui conçoivent et mettent en œuvre une nouvelle technologie ou un nouveau service, développeurs, ingénieurs, marketeurs devient primordial. Le cas échant, reconcevoir les technologies, processus et traitements avec l’aide de spécialistes contribuera aussi au respect du GDPR.

 

Si les sociétés qui manipulent des données à caractère personnel ne se mettent pas en règle face au GDPR, elles s’exposent à de graves conséquences.  Une entreprise qui ne se conforme pas à la nouvelle réglementation sur la protection des données s’expose à des sanctions administratives. En effet, le non-respect de la protection des données ou l’usage non autorisé de données personnelles constitue une violation de données punie par une amende substantielle. De plus, utiliser des données personnelles sans l’accord des utilisateurs présente un risque réputationnel qui peut déboucher sur la perte de valeur, voire de clients. Chez AdbA, nous vous accompagnons concrètement dans la conception (et la reconfiguration) des applications en intégrant le « privacy by design ». Nos meilleurs experts se forment perpétuellement sur ces questions afin de vous permettre de traiter des données personnelles en toute sécurité et dans le respect du GDPR. Nous formons aussi vos équipes.