Protection des données dès la conception et par défaut
La protection des données dès la conception est un principe basé sur l'intégration proactive de la confidentialité dans la conception et l'exploitation des systèmes informatiques, de l'infrastructure en réseau, des politiques, des procédures et des pratiques administratives et commerciales.
Le développement et l'intégration de solutions de confidentialité dans les premières phases d'un projet permet d’identifier des problèmes potentiels à un stade précoce afin de les éviter à long terme.
La protection des données dès la conception
Le concept de protection des données dès la conception trouve son origine au Canada, où il a été mis en place dans les années 1990 en tant que cadre non réglementaire de développement de logiciels. Son objectif est d'identifier et de prévenir les problèmes de confidentialité avant qu'ils ne se produisent.
L'obligation d'une approche de protection des données dès la conception a été intégrée dans le cadre juridique européen et constitue également un élément important de la CO 11.
La CO 11 exige que :
- Les opérations de traitement doivent être conçues et mises en œuvre conformément à la circulaire.
- Les personnes responsables conservent le détail des éléments de protection des données qui ont été pris en compte lors de la conception et de l'élaboration des opérations de traitement.
Le respect de la vie privée dès la conception est un concept qui intègre les caractéristiques de protection des données et de la vie privée dans l'ingénierie, les pratiques et les procédures. Il affecte la création et le fonctionnement de nouveaux appareils, systèmes informatiques, infrastructures en réseau et même les politiques d'entreprise.
L'élaboration et l'intégration de solutions de protection de la vie privée dès les premières phases d'un projet permettent d'identifier tout problème potentiel à un stade précoce afin de les prévenir à long terme. Cela ne doit pas être une réflexion après coup ou un complément à vos processus ou à votre infrastructure.
En pratique
Les services responsables sont encouragés à mettre en œuvre des mesures techniques et organisationnelles, dès les premières étapes de la conception des opérations de traitement, de manière à préserver les principes de protection de la vie privée et des données dès le départ.
La toute première étape consiste à esquisser la future activité de traitement en déterminant sa finalité globale, les données nécessaires pour l'atteindre et la base légale sous-jacente, la durée de vie prévue des données ainsi que les services impliqués dans le traitement.
L'élaboration d'un diagramme de données ou d'un schéma de déroulement des opérations peut être utile dans cette phase.
Le résultat de cette première analyse doit être documenté sous la forme d'un RoPO, qui est ensuite utilisé pour réaliser une évaluation de l'impact sur la confidentialité des données (DPIA).
L'évaluation d'impact sur la vie privée vous permettra d'identifier les faiblesses et les risques potentiels de votre traitement planifié et d'identifier les adaptations possibles, les mesures d'atténuation et les sauvegardes adéquates.
Vous devez tenir un registre détaillé de ces considérations et des mesures que vous avez prises pour rendre les opérations de traitement conformes à la CO 11. N'oubliez pas que vous devez être en mesure de démontrer que vous vous êtes acquitté de vos responsabilités.