comment intégrer la protection des données « dès la conception et par défaut » dans vos projets ? 

La protection des données personnelles est désormais centrale et nécessite d’être intégrée dans tout projet dès ses premières étapes. Mais comment le faire de façon pratique ?  

Nous avons vu dans un premier article ce qu’est la protection des données « dès la conception et par défaut » ainsi que l’importance de la considérer dans tout projet. Nous y avons recommandé de mettre en œuvre des approches complémentaires de sécurité et de protection des données, sans toutefois les confondre. 

pratiques de sécurité et pratiques de protection des données personnelles : quelles sont les principales différences ? 

La sécurité s’intéresse à la protection des données dans un périmètre déterminé (domaine d’applicabilité). Ces données représentent généralement un « asset » de l’entreprise. Une vulnérabilité est principalement exploitée via une attaque externe ou interne à l’entreprise.  

À l’inverse, les pratiques de protection des données personnelles considèrent que les données collectées appartiennent à une « personne » physique et que cette personne possède un certain nombre de droits sur ces données. Les données collectées sont donc exposées à un risque additionnel, qui est lié aux différents traitements mis en œuvre. Par exemple, des finalités de traitements non déterminées lors de la collecte des données, un traitement incluant une collecte de données sans consentement, un traitement impliquant des données non proportionnelle, une classification des données collectées non adéquate, etc. 

Les risques de sécurité se concentrent généralement sur les requis de confidentialité, d’authentification, d’intégrité, de disponibilité, ou encore de non-répudiation et de traçabilité des données. Une analyse des risques de sécurité met en œuvre des approches et des outils tel que STRIDE lors de la phase de design du projet. 

Une analyse de risques relative à la protection des données et à la vie privée, demande quant à elle la mise en œuvre de connaissances moins intuitives, telles que la Linkabilité, l’identification, la détectabilité, la non-Disclosure, l’unawareness et la non-compliance. Une approche structurée telle que LINDDUM et des techniques de PET sont généralement utilisées, couplées à des patterns spécifiques. Ces techniques d’analyse de la vie privée nécessitent également une bonne compréhension des différentes législations en vigueur (prise en compte de la jurisprudence par exemple au niveau UE et/ou CH). 

comment inclure ces pratiques dans une approche projet ?  

Nous préconisons d’inclure les pratiques PbD2 dans la démarche de tout projet. En réfléchissant aux données qui seront disponibles pour chaque processus mis en œuvre dans un traitement spécifique, vous n’améliorez pas seulement le niveau de sécurité, mais aussi le niveau de proportionnalité des données traitées. Par exemple, avons-nous besoin de toutes les données collectées? Pouvons-nous réduire les risques en réduisant les données collectées ? Combien de temps devons-nous les garder ? Comme indiqué, le niveau de risque augmente avec le volume de données collectées et leur niveau de classification. 

Comme certaines expériences le montrent, essayer de sécuriser tardivement un processus est généralement non seulement inefficace, mais aussi plus coûteux. Le même constat doit être fait concernant la protection des données personnelles. La prise en compte des principes PbD2 dès le début du projet facilite la création de processus et de systèmes plus efficaces présentant de ce fait moins de risques de non-conformité ou de rejet par les utilisateurs.  

exemple d’approche pragmatique 

Une approche pragmatique consiste à déployer une démarche permettant d’identifier et de gérer les risques liés à la collecte, les traitements, le transfert, le stockage et la suppression des données personnelles, ainsi que d’intégrer des mécanismes de contrôle de la mise en œuvre et du respect des différentes législations (EU, CH, …) dès les premières phases du projet.  

Cette approche doit être supportée par une répartition des rôles et des responsabilités (Gouvernance) impliquant les métiers (responsables des traitements), le service juridique, le responsable de la sécurité des systèmes,  l’IT et le DPO – les parties prenantes du projet. 

Plus spécifiquement, le projet doit inclure les étapes suivantes afin de répondre aux sept principes fondamentaux : 

• Spécifier les propriétés de confidentialité et les fonctionnalités qui doivent être remplies par le projet afin que leur conception et leur mise en œuvre soient possibles (définition des exigences de confidentialité et de respect de la vie privée). 

• Concevoir l’architecture et mettre en œuvre les éléments du projet qui couvrent les exigences de confidentialité définies (conception et développement de la confidentialité). La mise en œuvre par exemple de LINDDUM permet de tracer des DFD (digrammes de flux) et ainsi de valider des éléments d’architecture technique et fonctionnelle. 

• Confirmer que les exigences définies en matière de protection de la vie privée ont été correctement mises en œuvre et répondent aux attentes et aux besoins des parties prenantes (vérification et validation de la protection de la vie privée – tests spécifiques quant au respect des exigences). 

Les pratiques PbD2 doivent donc devenir une partie intégrante du projet, de sorte que les exigences en matière de protection de la vie privée soient définies en termes de propriétés et de fonctionnalités entièrement réalisables, et que tout risque identifié en matière de protection de la vie privée soit géré de manière appropriée et proactive (et non de façon réactive). 

Pour répondre à la question de comment intégrer ces pratiques dans un projet, nous avons développé un catalogue de patterns afin de gérer les risques relatifs à la protection de la vie privée. 

Ce catalogue facilite l’application d’une méthodologie de protection de la vie privée et de la sécurité intégrée dès les premières étapes du projet. Il permet également de soutenir la mise en pratique des principes de base par toutes les parties prenantes du projet. Une approche standardisée, dès le début du projet, permet de répondre à l’ensemble des risques de protection des données personnelles. Un exemple classique de patterns est « obtenir un consentement explicite » et « notification d’une brèche de sécurité ». Le pattern d’« anonymisation et pseudo-anonymisation des données » est également utilisé en fin de cycle de vie des données (période de rétention des données). D’autres patterns moins connus sont également à considérer tels que le pattern « strip des métadonnées dans un fichier ou une image» ou encore un pattern de « protection contre le tracking ».  

en conclusion 

Dans un contexte où les entreprises développent des services basés sur une utilisation intensive des données personnelles et dont l’impact sur la vie privée est visiblement renforcé par l’utilisation de technologies disruptives, il est nécessaire d’adopter des pratiques PbD2 qui garantissent le respect des droits et libertés des personnes à l’égard du traitement de leurs données personnelles. 

Les principes PbD2 intégrés dès le début d’un projet et mis en œuvre via des patterns spécifiques, permettent d’anticiper et de gérer les risques qui peuvent affecter les données personnelles avant qu’ils ne se produisent. 

Ces principes ne sont pas nouveaux. La nouveauté réside dans l’inclusion de ces principes dans les différents règlements (UE , CH) en tant qu’obligation légale, soumise à des sanctions en cas de violation.