Confidentialité par conception et confidentialité par défaut (protection des données conçue et confidentialité par défaut par GDPR)

En mai 2018, une nouvelle loi sur la protection des données personnelles est entrée en vigueur - le règlement général sur la protection des données ou le règlement du Parlement européen et du Conseil de l'Union européenne de 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques dans le traitement des données personnelles et à la libre circulation de ces données, et l'abrogation de la directive 95/46 / CE (ci-après RGPD ), qui fournit aux résidents de l'UE des outils pour un contrôle total de leurs données personnelles, dont la protection est un droit fondamental dans l'Union européenne. L'article 25 du RGPD oblige les entreprises à créer des systèmes avec une protection intégrée des données personnelles et des systèmes de confidentialité par défaut - confidentialité par conception et confidentialité par défaut . Dans le présent document, nous analyserons ces concepts.

Le texte de l'article 25 du Règlement en anglais et en russe:

1. Compte tenu de l'état de la technique, du coût de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques résultant du traitement, le responsable du traitement doit, à la fois au moment de la détermination des moyens de traitement et au moment du traitement lui-même, mettre en œuvre les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, tels que la minimisation des données, dans de manière efficace et d'intégrer les garanties nécessaires dans le traitement afin de répondre aux exigences du présent règlement et de protéger les droits des personnes concernées.

1. Compte tenu de l'état d'avancement de la science et de la technologie, des coûts de mise en œuvre, de la nature, du volume, des caractéristiques et des objectifs du traitement, ainsi que de l'occurrence probable de risques et de dangers pour les droits et libertés des personnes résultant du traitement, le responsable du traitement devrait, comme lors de la détermination des moyens de traitement, et au cours du traitement lui-même, introduire des mesures techniques et organisationnelles appropriées, par exemple la pseudonymisation, qui sont conçues pour mettre en œuvre efficacement les principes de protection des données, par exemple, pour minimiser les données et pour intégrer les garanties nécessaires au traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur stockage et à leur accessibilité. En particulier, ces mesures garantissent que les données personnelles par défaut ne sont pas rendues accessibles sans l'intervention de la personne à un nombre indéfini de personnes physiques.

2. Le responsable du traitement devrait mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel sont traitées et nécessaires pour chaque objectif de traitement spécifique. Cette obligation s'applique à la grande quantité de données personnelles collectées, au montant de leur traitement, à la durée de leur stockage et à la possibilité d'y accéder. En particulier, ces mesures devraient garantir que, par défaut, l'accès aux données personnelles ne sera pas accordé à un nombre indéfini de personnes sans la participation d'une personne.

3. Un mécanisme de certification approuvé conformément à l'article 42 peut être utilisé comme élément pour démontrer la conformité aux exigences énoncées aux paragraphes 1 et 2 du présent article.

3. Un mécanisme de certification approuvé conformément à l'article 42 peut être utilisé comme élément pour confirmer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Qu'est ce que c'est

Confidentialité dès la conception

Cela signifie que le responsable du traitement s'engage à intégrer le système de protection des données dans tous les processus commerciaux (y compris les processus de développement de produits ou de services) à un stade précoce de leur conception et s'engage à maintenir un tel système en continu à l'avenir. La protection des données intégrée dans sa conception est une obligation de prévoir à l'avance la protection des données personnelles dans toutes les actions, entreprises et décisions de l'entreprise. Par exemple, lors de la création d'une application mobile, il est nécessaire d'analyser et de prévenir les risques éventuels liés à la confidentialité, et d'établir des mécanismes de gestion de ces risques avant d'écrire du code.

Selon la philosophie de la vie privée dès la conception, la meilleure façon de réduire les risques associés à la vie privée est de ne pas les créer en premier.

Confidentialité par défaut

Par défaut, la confidentialité implique que l'utilisateur n'a pas besoin de prendre de mesures pour protéger sa vie privée. Les paramètres pour maintenir la confidentialité et protéger en conséquence ses données personnelles sont définis par défaut. Les superviseurs ne doivent pas automatiquement supposer que l'utilisateur accepte l'échange de données. Seules les données nécessaires pour atteindre des objectifs de traitement spécifiques sont soumises à la collecte. Pour garantir cette confidentialité, par défaut, les superviseurs doivent mettre en œuvre les mesures techniques et organisationnelles appropriées.

La case à cocher sur le consentement de l'utilisateur au transfert de ses données à des tiers ne doit pas être automatiquement marquée sur le site dans le profil de l'utilisateur. L'utilisateur doit cocher cette case lui-même, exprimant ainsi son consentement explicite (voir le consentement explicite aux articles 4, paragraphe 11, 6, paragraphe 1, point a), 7 du RGPD). Ou, par exemple, lors de la collecte des données nécessaires à l'enregistrement de l'utilisateur, l'application ne doit pas exiger de l'utilisateur qu'il fournisse des données qui ne sont pas nécessaires à l'enregistrement.

Moins une entreprise collecte et traite de données, plus le risque de violation du RGPD est faible.

Historique de la confidentialité par conception, confidentialité par défaut

Selon le Contrôleur européen de la protection des données (ci-après dénommé CEPD), les termes «confidentialité intégrée» et «confidentialité par défaut» ont été développés dans les années 1990 par Ann Cavoukian, commissaire à l'information et à la protection des données personnelles. dans la province canadienne de l'Ontario. En 2009, elle a publié Integrated Privacy: 7 Fundamental Principles , qui explique que la «confidentialité intégrée» signifie que les entreprises doivent activement prendre en compte les problèmes de confidentialité tout au long du cycle de vie des données, dès la phase de conception. Cette «protection complète du cycle de vie» garantit que toutes les données sont stockées en toute sécurité, puis détruites en temps opportun. De cette façon, la confidentialité dès la conception permet une gestion continue et sécurisée du cycle de vie des données, du début à la fin. Conformément à ces principes, cette protection peut et doit agir sans compromettre la fonctionnalité de l'entreprise ou du système.

Kavukyan a développé les principes suivants:

1. Mesures préventives (proactives), pas seulement atténuation
2. Confidentialité par défaut
3. Confidentialité intégrée
4. Fonctionnalité complète avec bénéfice mutuel
5. Protection des informations personnelles tout au long du cycle de leur collecte, stockage, traitement et destruction
6. Accessibilité et transparence
7. Respect de la vie privée des utilisateurs: le système doit être orienté utilisateur

La confidentialité par défaut, à son tour, signifie que le principe de la confidentialité intégrée devrait être inclus par défaut dans tout système ou entreprise - afin que les données personnelles soient automatiquement protégées sans aucune action de la part de la personne concernée. Une personne ne devrait être tenue de prendre aucune mesure pour protéger sa vie privée - tout est intégré au système par défaut.

Le CEPD explique que ce paramètre par défaut signifie que la personne concernée ne devrait pas supporter la charge de protéger ses données lorsqu'elle utilise des services ou des produits. Le droit à la vie privée sera protégé «automatiquement» comme paramètre par défaut.

Les principes de confidentialité par conception et de confidentialité par défaut, développés par Kavukyan, ont rapidement été adoptés par les législateurs européens en tant que norme dans le domaine de la protection des données personnelles.

Projet de recommandations
Comité européen de la protection des données 13 novembre 2019

Le 13 novembre 2019, une autorité indépendante de protection des données personnelles au niveau européen, le Comité européen de la protection des données (EDPB), a publié un projet de recommandations sur l'application de l'article 25 du RGPD sur le système de confidentialité intégré. Cette version n'est pas définitive, EDPB accepte les commentaires des parties intéressées jusqu'au 16 janvier 2020, après quoi, en tenant compte de ces commentaires, publie la version finale des recommandations. Les recommandations n'ont pas force de loi, mais malgré leur nature non normative, les régulateurs de la protection des données dans les pays de l'UE et les entreprises les suivent.

Voici les principaux points de ces recommandations qui aideront à interpréter correctement et à comprendre les exigences de l'article 25 du RGPD.

1. Confidentialité dès la conception

• Les superviseurs peuvent démontrer l'efficacité des mesures visant à satisfaire à l'exigence de confidentialité intégrée à l'aide d' indicateurs de performance . Par exemple, des indicateurs quantitatifs: une diminution du nombre de réclamations, une diminution du temps de réponse aux demandes des utilisateurs pour leur confidentialité. Ou des indicateurs de qualité: analyse de performance, utilisation d'échelles de notation ou d'avis d'experts.
• Les mesures techniques ou organisationnelles peuvent être à la fois l'utilisation de technologies intégrées avancées et une formation de base pour les employés, par exemple, comment gérer les données des personnes concernées (utilisateurs). Autrement dit, il n'est pas nécessaire de prendre des mesures complexes - l'essentiel est que les mesures fonctionnent efficacement.
• Les mesures peuvent inclure: fournir aux personnes concernées la possibilité d'intervenir dans le traitement de leurs données, un rappel sur le stockage des données dans la base de données, l'introduction d'un système de détection de logiciels malveillants et une cyber-hygiène de base.
• Un exemple de mesure technique: pseudonymisation des données (voir article 4 (5) RGPD). Il s'agit notamment du hachage et du chiffrement.
• Bien qu'il ne soit pas nécessaire d'utiliser des technologies avancées, les mesures devraient prendre en compte le développement des technologies ( l'état de l'art est le niveau technologique d'un service ou d'un produit qui existe sur le marché et qui est le plus efficace pour atteindre ses objectifs). Cela signifie que les contrôleurs doivent être informés des dernières avancées technologiques et prendre les mesures organisationnelles appropriées. L'absence de mesures organisationnelles adéquates peut réduire, voire compromettre complètement l'efficacité de la mesure technique sélectionnée. Ainsi, l'utilisation de logiciels de sécurité présentant des vulnérabilités connues ne sera probablement pas considérée comme une mesure prenant en compte les technologies modernes.
• L'article 25, paragraphe 1, du RGPD en cours de discussion stipule que le coût de la mise en œuvre doit être pris en compte lors du choix des mesures à appliquer. Les recommandations précisent que ces coûts doivent être considérés au sens large. Ainsi, nous parlons non seulement des coûts décaissés, mais aussi des coûts de temps, des ressources humaines. «Le non-respect des coûts ne justifie pas le non-respect des exigences du RGPD.» Cependant, EDPB prévient également que le coût élevé de la technologie ne signifie pas qu'elle est nécessairement efficace. En effet, dans certains cas, des solutions simples et peu coûteuses peuvent être plus efficaces en conséquence que des technologies coûteuses.

2. Confidentialité par défaut

• Les termes «mesures techniques et organisationnelles» ne devraient être envisagés que dans le cadre du principe de minimisation des données, comme dans la vie privée dès la conception.
• «Par défaut» en informatique signifie une valeur présélectionnée, un paramètre configurable qui est affecté à un programme informatique ou à un périphérique. Par conséquent, selon EDPB, la «protection des données par défaut» est la tâche du contrôleur pour établir des préréglages . Ces préréglages devraient notamment réguler la quantité de données personnelles collectées, le degré de leur traitement, la durée de conservation et la disponibilité. S'il n'y avait pas de paramètres par défaut, les personnes concernées seraient surchargées de diverses options qu'elles ne peuvent pas analyser et comprendre.
• Les mesures organisationnelles devraient également viser à garantir que, dès le début, la quantité minimale de données à caractère personnel est traitée ou uniquement les données à caractère personnel nécessaires à des opérations et à des fins spécifiques.
• Ces mesures devraient réduire au minimum le traitement inutile des données personnelles et restreindre l'accès aux données personnelles aux personnes concernées.

3. La responsabilité du respect de la vie privée dès la conception incombe par défaut au responsable du traitement des données, mais EDPB souligne que les processeurs et les fournisseurs jouent également un rôle important dans le respect des principes . Les contrôleurs transmettent souvent des données à traiter à un processeur (par exemple, un fournisseur de services cloud) ou acquièrent des solutions technologiques pour le traitement des données (par exemple, un appareil qui permet de traiter des données biométriques). Ces personnes sont les mieux à même d'identifier les risques associés aux données personnelles dans le cadre de l'utilisation d'un service. Les transformateurs et les fournisseurs devraient utiliser leur expérience pour développer des produits qui incarnent la confidentialité par conception, par défaut. Exemples de décisions des fournisseurs: suppression automatique des données après un certain temps ou pseudonymisation immédiate des données après la collecte.

4. La certification conformément à l'article 42 du RGPD peut également être utilisée pour démontrer le respect de la vie privée dès la conception et de la vie privée par défaut, et fournir un avantage concurrentiel sur le marché des fournisseurs. Il est important d'ajouter qu'il existe des recommandations de certification pour les articles 42, 43 du RGPD, également développés par l'EDPB.

5. Les recommandations fournissent également des exemples pratiques sur les éléments importants de la vie privée par conception, de la vie privée par défaut: transparence, légalité, intégrité, limitation de la finalité, précision, limitation du stockage, intégrité et confidentialité.

Par exemple, à l'élément «précision», EDPB a présenté la situation suivante et sa solution potentielle:

Le responsable du traitement est un établissement médical qui recherche des moyens d'assurer l'intégrité et l'exactitude des données personnelles dans ses registres clients. Dans les situations où deux personnes arrivent en même temps à l'établissement et reçoivent le même traitement, il existe un risque d'erreur si le seul paramètre qui les distingue est le nom. Pour garantir l'exactitude, le responsable du traitement a besoin d'un identifiant unique pour chaque personne et, par conséquent, de plus d'informations que le nom du client. L'établissement utilise plusieurs systèmes contenant des informations personnelles sur les clients et doit s'assurer que les informations relatives au client sont correctes, exactes et cohérentes dans tous les systèmes à un moment donné. Plusieurs risques ont été identifiés qui pourraient survenir si les informations changeaient dans un système, mais pas dans un autre. Pour réduire les risques, le responsable du traitement décide d'utiliser une méthode de hachage pour garantir l'intégrité des données dans les enregistrements de traitement. Des signatures de hachage permanentes sont créées pour les enregistrements de traitement et l'employé associé afin que tout changement puisse être reconnu, corrélé et suivi si nécessaire.

Comme mentionné ci-dessus, ce n'est pas la version finale des recommandations, vous devez donc suivre la mise à jour en tenant compte des commentaires des parties intéressées.

Grande amende sous Art. 25 RGPD

Le 30 octobre 2019, la société immobilière allemande Deutsche Wohnen SE a été condamnée à une amende de 14,5 millions d'euros pour stockage incorrect de données uniquement en référence à l'article 25, paragraphe 1, du RGPD. L'entreprise a utilisé un système d'archivage pour stocker les données personnelles des locataires, ce qui ne permettait pas de supprimer les données qui n'étaient plus nécessaires. Les données personnelles des locataires ont été stockées sans vérifier la validité de leur stockage ultérieur. Ainsi, il a été possible d'accéder à des données personnelles qui ont été stockées pendant des années alors qu'elles ne remplissaient plus les fonctions de leur collecte initiale. Des informations ont été stockées sur la situation personnelle et financière des locataires, les certificats de salaire, les formulaires d'auto-divulgation, les extraits des contrats de travail et de formation, les données fiscales, la sécurité sociale et l'assurance médicale, ainsi que les relevés bancaires .

La peine maximale pour violation de l'article 25, paragraphe 1, du RGPD est de 10 millions d'euros ou 2% du chiffre d'affaires mondial. Une amende de 14,5 millions d'euros a été calculée sur la base des lignes directrices précédemment publiées par BBDI (autorité allemande de protection des données, Berliner Beauftragte für Datenschutz und Informationsfreiheit).

Sur ce site (GDPR Enforcement Tracker), vous pouvez surveiller les amendes et pénalités imposées dans l'UE en vertu du RGPD.

Conclusion

L'article 25 du RGPD impose une charge importante à la fourniture d'une protection et d'une confidentialité des données personnelles intégrées par défaut. Pour se conformer aux exigences de cette norme et éviter des amendes importantes, les responsables du traitement devraient analyser comment, où et quand ils traitent les informations, et veiller à ce que le droit à la vie privée soit pris en compte à chaque étape du traitement, à commencer par la conception d'un produit / service, un nouveau processus commercial. Cela devrait inclure les éléments suivants:

• Développement d'un programme de confidentialité pour toute l'organisation, qui détermine où et quand les données personnelles sont traitées, et s'assure que chaque département qui traite les données personnelles a un plan de protection des données personnelles.
• Un plan de protection des données personnelles qui devrait faire partie de tout nouveau processus commercial pouvant inclure le traitement des données personnelles.
• Minimisation du traitement des données personnelles (traitement uniquement des données personnelles nécessaires pour atteindre les objectifs de traitement).
• Pseudonymiser ou chiffrer les données lorsque cela est possible.
• Garantir la transparence de tout traitement de données à caractère personnel pour les personnes concernées et informer les personnes concernées de la façon dont leurs données personnelles sont utilisées.
• .
• , , .
• EDPB.