Article 25

Protection des données dès la conception et protection des données par défaut

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Qu'est-ce que ça veut dire?

L’article 25 du RGPD aborde le concept de “protection des données dès la conception et par défaut”, communément appelé privacy by design et privacy by default.

Les organisations doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir que les principes de protection des données sont intégrés dans la conception et le fonctionnement de leurs systèmes, produits et services.

L’objectif est de renforcer la confidentialité et la protection des données à tous les stades du traitement des données à caractère personnel.

Ce concept est essentiel pour parvenir à une protection efficace des données, et ainsi assurer la conformité avec les réglementations du RGPD.

Pour garantir la protection des droits et libertés des personnes, il est essentiel de procéder à une évaluation des risques. Cette évaluation des risques doit porter sur la probabilité et la gravité des incidences potentielles sur la vie privée et la protection des données des personnes.

Pour ce faire, il convient d’évaluer la nature des données à caractère personnel concernées, leur sensibilité et les conséquences potentielles d’une compromission ou d’une mauvaise manipulation de ces données.

L’évaluation des risques déterminera le niveau de risque actuel. Ensuite, vous devez prendre des mesures pour réduire ce risque à un niveau acceptable en mettant en œuvre des mesures techniques et organisationnelles.

La prise en compte du respect de la vie privée dès la conception est une approche qui intègre les caractéristiques et les principes de protection des données et de la vie privée dans le processus de développement des systèmes, des produits et des services.

Il s’agit d’identifier et de traiter les risques potentiels pour la vie privée et de mettre en œuvre des mesures pour atténuer ces risques.

Toutes les organisations sont tenues d’intégrer le principe de Privacy by Design dans leur traitement des données à caractère personnel, comme mentionné à l’article 25 du RGPD.

La protection de la vie privée par défaut fait référence à la pratique consistant à définir l’option par défaut d’un processus ou d’un système sur le choix le plus respectueux de la vie privée, sans exiger d’action de la part de l’individu. Ce principe s’aligne sur le principe de minimisation des données de la protection des données.

En optant par défaut pour une protection renforcée de la vie privée, les personnes se voient garantir le niveau le plus élevé de protection de la vie privée dès qu’elles commencent à utiliser un système, un produit ou un service.

En outre, le principe de la protection de la vie privée par défaut signifie que les organisations doivent limiter la collecte, l’utilisation et le stockage des données à caractère personnel à ce qui est nécessaire aux fins spécifiées.

L’article 25 exige que votre organisation mette en œuvre la protection de la vie privée dès la conception et par défaut, ce qui signifie qu’elle doit adapter tous les traitements de données à caractère personnel afin de les protéger.

Malheureusement, les organisations accordent souvent la priorité à la sécurité et à la protection de la vie privée après coup, une fois que le produit ou le processus d’entreprise a été conçu.

Cela devient d’autant plus problématique que de nouveaux processus et systèmes sont continuellement ajoutés et intégrés aux processus et systèmes existants. Il en résulte un paysage de sécurité dispersé et complexe pour l’organisation, rempli d’insécurités qu’il est difficile de corriger et de sécuriser. Par conséquent, les frais généraux augmentent également.

L’intégration des exigences de l’article 25 améliorera la protection des données à caractère personnel et facilitera son maintien au fur et à mesure de l’évolution des processus et des systèmes d’entreprise.

Voici quelques exemples de mise en œuvre de la protection de la vie privée dès la conception et par défaut :

  • Mettre en œuvre des paramètres par défaut qui donnent la priorité à la protection de la vie privée, par exemple en donnant aux individus la possibilité d’accepter la collecte et le traitement des données au lieu de les refuser.
  • Appliquer des contrôles d’accès pour limiter l’accès aux seules personnes qui en ont besoin.
  • Effectuer des évaluations des risques lors de l’élaboration de nouveaux processus ou systèmes commerciaux afin d’identifier et de traiter les risques potentiels en matière de protection de la vie privée.
  • Veiller à ce que tous les employés soient formés aux principes de la protection des données et à la sécurité informatique, et à ce qu’ils aient une compréhension suffisante de la manière de traiter les données à caractère personnel en toute sécurité.

Oui, il existe des exigences spécifiques pour la mise en œuvre de la protection des données dès la conception et par défaut.

L’article 25 du RGPD impose aux organisations de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les principes de protection des données sont pris en compte et intégrés dans la conception et le fonctionnement de leurs systèmes, produits et services.

Il s’agit notamment d’adopter une approche proactive de la protection de la vie privée et des données, de définir la protection de la vie privée comme paramètre par défaut, de minimiser la collecte de données, de garantir la limitation des finalités, d’assurer la transparence pour les personnes, de donner le contrôle à l’utilisateur et d’obtenir son consentement, de mettre en œuvre des mesures de sécurité des données, et bien plus encore.

Pour assurer la conformité avec l’article 25 du RGPD, une entreprise doit prendre les mesures suivantes :

  • Cartographier le traitement des données à caractère personnel dans tous les processus et systèmes, comme l’exige l’article 30 relatif aux registres des activités de traitement.
  • Procéder à une évaluation des risques de ces processus et systèmes.
  • Mettre en œuvre le respect de la vie privée dès la conception et par défaut afin de réduire le niveau de risque identifié dans les évaluations de risques.
  • Documenter le recours au respect de la vie privée dès la conception et par défaut, par exemple en ajoutant une documentation à ce sujet dans les registres des activités de traitement.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!