pourquoi la protection des données « dès la conception et par défaut » doit être une de vos priorités
HomeInsightspourquoi la protection des données « dès la conception et par défaut » doit être une de vos priorités
governance & service management

pourquoi la protection des données « dès la conception et par défaut » doit être une de vos priorités

Flaviano Valvason, Senior Consultant, Itecor Vevey · November 21, 2022

La protection des données personnelles est désormais centrale. Elle ne s’appréhende plus uniquement sous forme de risques, elle se markette dorénavant auprès des clients de l’entreprise. Il ne s’agit donc plus d’une question secondaire dans un projet, l’intégrer dès ses premières étapes devient primordial.

La protection des données personnelles n’apparait que rarement au premier rang des priorités d’un projet. Les entreprises commencent toutefois à réaliser, notamment depuis l’introduction du règlement général de l’UE sur la protection des données (RGPD), que la confidentialité, et la protection de la vie privée sont des éléments critiques quant à la réussite d’un projet, et non uniquement importants du point de vue de la conformité.

La mise en œuvre de certains principes de base, associés à des patterns spécifiques de protection des données, permettent ainsi d’anticiper et de gérer les risques qui peuvent affecter les données personnelles avant qu’ils ne se produisent.

Le RGDP européen a le mérite d’avoir mis en évidence l’importance de la confidentialité et de la protection des données personnelles et a de ce fait permis de généraliser les concepts de protection des données « dès la conception et par défaut ». Ces concepts sont également repris dans la nouvelle loi fédérale sur la protection des données LPD qui devrait être effective d’ici le troisième trimestre 2022. Cette sensibilité accrue à la protection des données personnelles n’est pas seulement liée à la menace de sanctions ou encore à la perte de réputation en cas de violation des règles de protection des données. Les entreprises réalisent qu’elles ne peuvent tirer pleinement parti des nouvelles technologies, telles la blockchain, l’intelligence artificielle ou l’internet des objets, et des nouvelles applications mobiles que si elles répondent aux attentes des individus, maintiennent leur confiance et respectent leur vie privée.

De ce fait, la protection des données personnelles n’est plus simplement une question de mise en conformité mais doit être vue comme un facteur essentiel de la réussite d’un projet. Prenons comme exemple, la transition énergétique 2050 de la Confédération. La réussite de ce projet repose en grande partie sur le principe du respect de la vie privée de l’individu : à titre d’exemple, les courbes de consommation (courbes de charges) collectées via des compteurs intelligents (80% des foyers Suisses devront être équipés d’ici à 2027) sont considérées comme des données personnelles. L’accès aux courbes de charges d’un individu permet en effet de révéler son comportement journalier (profile), comme l’heure de départ et d’arrivée dans sa résidence, le type d’appareil mis sous ou hors tension, ou encore les programmes TV regardés.

Des traitements spécifiques (par exemple pseudo-anonymisation de certaines données, suppression de la Linkabilité entre données collectées) afin de protéger la vie privée du consommateur, ont été exigés par le Préposé Fédéral à la Protection des Données (PFPDT). Ceci afin que les données pertinentes au décompte de consommation soient proportionnelles et disponibles seulement dans une certaine granularité, le but étant de rendre difficile, voire impossible, l’extraction d’un profile de comportement précis. Ces traitements spécifiques couplés à des mesures de sécurité strictes, permettent ainsi de garantir la protection de la vie privée du consommateur.

Qu’est la protection des données « dès la conception et par défaut » ?

La protection des données dès la conception et par défaut est une approche qui consiste à intégrer la confidentialité et la protection des données personnelles dès les premières étapes du projet, ainsi qu’à maintenir cet état tout au long du cycle de vie des données (jusqu’à la fin de la période de rétention des données). On parle de Privacy by Design et de Privacy by Default (en abrégé : PbD2).

Ces pratiques ne sont pas nouvelles et ne datent pas non plus de la publication du règlement Européen UE – RGPD. Les pratiques PbD2, en matière de protection de la vie privée, reconnaissent sept principes fondamentaux, qui ont été publiés pour la première fois par Ann Cavoukian en 2011 (le UE – RGPD date de 2018).

La principale question qui nous est posée lors de nos missions de conseil sur le sujet de la protection des données et de la sécurité des données, est relative à la mise en application de ces pratiques. Comment intégrer les pratiques PbD2 à un projet pour éviter des non-conformités, voire un rejet par les utilisateurs, dans le cas où le projet serait perçu comme non respectueux de leur vie privée ?

Clairement, il n’est plus possible d’ignorer les pratiques PbD2. Le chef de projet, l’architecte technique ou fonctionnel, le responsable de la sécurité, le responsable des traitements (métiers), le responsable qualité, ainsi que le DPO (Data Protection Officer) doivent les inclure dans leurs activités, généralement sous forme de mesures techniques spécifiques, complémentaires aux mesures de sécurité, ainsi que sous forme de mesures organisationnelles adaptées aux risques de confidentialité identifiés.

D’un point de vue pratique, nous recommandons de mettre en œuvre des approches complémentaires (sécurité et protection des données) afin d’identifier et de traiter l’ensemble des risques de sécurité et de protection des données personnelles.  Toutefois, il ne faut pas confondre pratiques de sécurité et pratiques de protection des données personnelles. Il s’agit de deux domaines complémentaires mais présentant des éléments spécifiques distincts d’analyse des risques.

Nous verrons dans un prochain article les principales différences en ces pratiques et comment les inclure dans une démarche projet.

 

mehr Insights

comment intégrer la protection des données « dès la conception et par défaut » dans vos projets ? 


governance & service management

November 24, 2022

Teil einer großartigen, disruptiven Transformation


digital solutionsgovernance & service managementquality assurance & testing

Oktober 03, 2022

Faut-il se certifier ITIL 4 ?


governance & service management

September 02, 2022

kontaktieren Sie uns