Article 25 Protection des données dès la conception et par défaut

La protection des données dès la conception (privacy by design)

L'article 25, paragraphe 1, impose au responsable du traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées dès la phase de conception des systèmes de traitement. Cette approche implique que la protection des données ne soit pas ajoutée après coup, mais qu'elle soit intégrée dès l'origine dans l'architecture et le fonctionnement des systèmes d'information.

Le principe de privacy by design suppose une analyse préalable des risques pour les droits et libertés des personnes concernées et la mise en place de garanties techniques et organisationnelles destinées à prévenir ces risques. Parmi les mesures techniques figurent la pseudonymisation, le chiffrement, les contrôles d'accès, la minimisation des données collectées, ou encore l'anonymisation lorsque cela est possible sans compromettre les finalités du traitement.

Cette exigence implique également que les équipes en charge de la conception des systèmes d'information (développeurs, architectes, chefs de projet) soient formées aux principes de la protection des données et qu'elles intègrent ces principes dès les premières étapes de conception. La collaboration entre les équipes techniques et le délégué à la protection des données (DPO) est, à cet égard, essentielle.

La protection des données par défaut (privacy by default)

L'article 25, paragraphe 2, impose au responsable du traitement de garantir que, par défaut, seules les données strictement nécessaires au regard de chaque finalité spécifique du traitement sont collectées et traitées. Ce principe de minimisation par défaut vise à éviter la collecte excessive de données et à limiter l'accès aux données aux seules personnes qui en ont effectivement besoin dans le cadre de leurs fonctions.

La protection par défaut implique que les paramètres de confidentialité les plus stricts soient appliqués automatiquement, sans que la personne concernée ait à intervenir pour renforcer la protection de ses données. Par exemple, un service en ligne ne doit pas, par défaut, rendre publiques les données personnelles de ses utilisateurs : ces données ne doivent être accessibles qu'à un cercle restreint de destinataires, sauf consentement explicite de la personne concernée pour une diffusion plus large.

Ce principe s'applique également à la durée de conservation des données : par défaut, les données ne doivent être conservées que pour la durée strictement nécessaire à la réalisation de la finalité poursuivie, et elles doivent ensuite être supprimées ou anonymisées, sauf obligation légale de conservation.

Les mesures techniques et organisationnelles appropriées

L'article 25 exige que les mesures mises en œuvre soient appropriées, c'est-à-dire adaptées à l'état des connaissances, aux coûts de mise en œuvre, à la nature, à la portée, au contexte et aux finalités du traitement, ainsi qu'aux risques pour les droits et libertés des personnes concernées. Cette approche fondée sur le risque implique qu'il n'existe pas de solution universelle et que les mesures doivent être proportionnées et contextualisées.

Parmi les mesures techniques couramment mises en œuvre figurent la pseudonymisation, le chiffrement des données en transit et au repos, les mécanismes d'authentification forte, les contrôles d'accès granulaires, la journalisation des accès, l'anonymisation ou l'agrégation des données lorsque cela est possible, ainsi que les mécanismes de suppression automatique des données à l'expiration de leur durée de conservation.

Les mesures organisationnelles comprennent la mise en place de procédures de validation préalable des nouveaux traitements, la réalisation d'analyses d'impact relatives à la protection des données (AIPD) pour les traitements à risque élevé, la formation des équipes techniques, la définition de règles internes de minimisation des données, ou encore l'intégration de la protection des données dans les processus de gestion de projet.

Exemples pratiques de mise en œuvre

Dans le cadre du développement d'une application mobile, le principe de privacy by design impose de limiter les permissions demandées aux seules fonctionnalités strictement nécessaires, d'éviter la collecte de données de géolocalisation en continu si cela n'est pas indispensable, de prévoir le chiffrement local des données stockées sur le terminal, et de permettre à l'utilisateur de supprimer facilement son compte et l'ensemble de ses données.

Le principe de privacy by default impose, quant à lui, que les paramètres de confidentialité les plus protecteurs soient activés par défaut : par exemple, un profil utilisateur doit être privé par défaut et non public, les données de géolocalisation ne doivent être partagées qu'après consentement explicite de l'utilisateur, et les newsletters ou notifications commerciales ne doivent pas être activées par défaut lors de la création d'un compte.

Dans le cadre de la mise en place d'un système de gestion des ressources humaines (SIRH), le principe de privacy by design implique de limiter l'accès aux données personnelles des salariés aux seules personnes habilitées (responsables RH, gestionnaires de paie), de prévoir des mécanismes de traçabilité des accès, et d'intégrer des fonctionnalités permettant l'exercice des droits des personnes concernées (accès, rectification, effacement). Le principe de privacy by default impose que les données sensibles (données de santé, opinions politiques ou syndicales) ne soient accessibles qu'à un cercle très restreint de personnes, sous réserve d'habilitations spécifiques.

Articulation avec les autres dispositions du RGPD

L'article 25 doit être lu en lien étroit avec l'article 5 relatif aux principes du traitement, en particulier le principe de minimisation des données (paragraphe 1, point c) et le principe de limitation de la conservation (paragraphe 1, point e). Il s'articule également avec l'article 24 relatif à la responsabilité du responsable du traitement, qui impose de démontrer la conformité des mesures mises en œuvre.

L'article 25 constitue également un préalable à la réalisation des analyses d'impact relatives à la protection des données (AIPD) prévues à l'article 35, dans la mesure où il impose une analyse des risques dès la phase de conception des traitements. Il s'articule enfin avec l'article 32 relatif à la sécurité du traitement, qui précise les mesures techniques et organisationnelles devant être mises en œuvre pour garantir un niveau de sécurité adapté au risque.

Les certifications et outils de conformité

L'article 25, paragraphe 3, reconnaît qu'un mécanisme de certification approuvé en application de l'article 42 peut servir d'élément pour démontrer le respect des exigences de privacy by design et de privacy by default. Les certifications permettent ainsi d'attester de la conformité des systèmes de traitement et des pratiques du responsable du traitement à des référentiels reconnus et validés par les autorités de contrôle.

Plusieurs initiatives de certification ont été développées au niveau européen et national, portant notamment sur la conformité des systèmes de gestion de la relation client (CRM), des plateformes de gestion de la paie, ou encore des outils de gestion des consentements et des préférences des utilisateurs. Ces certifications constituent un gage de confiance pour les personnes concernées et facilitent la démonstration de la conformité au RGPD.

Sanctions et jurisprudence

Le non-respect de l'article 25 est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les autorités de contrôle sanctionnent régulièrement les responsables de traitement qui collectent des données de manière excessive, qui conservent des données au-delà de la durée nécessaire, ou qui ne mettent pas en place de mesures techniques et organisationnelles appropriées dès la conception des traitements.

La Commission nationale de l'informatique et des libertés (CNIL) a, à plusieurs reprises, rappelé que le principe de minimisation des données doit être respecté dès la phase de conception des systèmes et que la collecte de données superflues constitue un manquement autonome aux obligations du RGPD. Elle a également souligné que les paramètres de confidentialité par défaut doivent être les plus protecteurs et que les personnes concernées ne doivent pas avoir à effectuer des démarches complexes pour protéger leurs données.

Recommandations de la CNIL et du CEPD

La CNIL recommande aux responsables de traitement de procéder à une analyse préalable des risques pour les droits et libertés des personnes concernées dès la phase de conception des nouveaux traitements, et de documenter les mesures techniques et organisationnelles mises en œuvre pour garantir la conformité au RGPD. Elle insiste également sur l'importance de la formation des équipes techniques et de la sensibilisation des décideurs aux principes de privacy by design et de privacy by default.

Le Comité européen de la protection des données (CEPD) souligne que les principes de protection des données dès la conception et par défaut constituent des piliers essentiels de la conformité au RGPD et qu'ils doivent être intégrés dans l'ensemble des processus de conception et de développement des systèmes d'information. Il recommande aux responsables de traitement de mettre en place des mécanismes de contrôle interne permettant de vérifier que les paramètres par défaut respectent bien le principe de minimisation des données et que les mesures de protection sont effectivement mises en œuvre dès la conception.