Data Protection by Design

De e-glop
Révision datée du 21 février 2020 à 18:31 par BeTa (discussion | contributions) (BeTa a déplacé la page Data Protection by Design & By Default vers Data Protection by Design)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Protection des données dès la conception

Ce que dit le RGPD

Art 25:

"(...) le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (...) qui sont destinées à mettre en œuvre les principes relatifs à la protection des données (...) de façon effective et à assortir le traitement des garanties nécessaires afin (...) de protéger les droits de la personne concernée."

Ce que dit l'ISO27701

  1. Intégration de la "Privacy" dans le processus de développement logiciel (§6.11.2.1) :
    1. Créer un guide à destination des processus de développement relativement aux principes de protection de la vie privée
    2. Inclure les exigences de protection de la vie privée dès la phase de conception logicielle, en se basant sur l'appréciation des risques et impacts sur la vie privée
    3. Positionner des points d'étape réguliers au sujet de la protection de la vie privée dans le projet de création logicielle
    4. S'assurer de la connaissance de la protection des informations personnelles et de la vie privée
    5. Minimiser par défaut le traitement des informations personnelles
  2. Les systèmes et composants impliqués dans le traitement d'informations personnelles devraient inclure les principes de protection de la vie privée et des informations personnelles (§6.11.2.5)
  3. L'externalisation ne devrait pas réchapper à ces précédentes exigences (§6.11.2.7)
  4. Les principes de protection de la vie privée et des informations personnelles sont (§7.4) :
    1. La limitation de la collecte d'informations personnelles, en particulier de collecte indirecte (ex: usage des outils marketting Google ou Facebook)
    2. Limiter le traitement d'informations personnelles
    3. S'assurer de la qualité (exactitude) des informations personnelles détenues
    4. Se doter d'objectifs de minimisation des informations personnelles (pseudonymisation, anonymisation, dé-identification...)
    5. Dé-identification et purge des informations personnelles après traitement et maîtrise de la durée du traitement
    6. Gérer avec attention tout "fichier temporaire" pouvant contenir des informations personnelles (ex: mémoire, corbeille, ...)
    7. Maîtriser les transferts d'information personnelle

Ce que disent l'EDPB et l'EDPS

Source: Opinion préliminaire 2018/4

La protection de la vie privée dès la conception revêt plusieurs dimensions :

1. Identifier la protection des individus et de leurs données personnelles dans les attendus de tout projet, ainsi que dans leur cycle de vie au complet (dimension #1) 2. Sélectionner des mesures de sécurité appropriées (dimension #2) et effectives (donc mesurables, dimension #3) par une approche par les risques sur les droits et libertés fondamentaux des individus (RGPD art.5, 30, 32...) 3. Intégrer ces mesures de sécurité au sein même des traitements (dimension #4)

Source: Lignes directrices 4/2019 (13/11/2019)

1. L'effectivité des mesures de sécurité choisies et mises en place dans les traitements de DCP sont au cœur du concept de protection des données dès la conception 2. Aucune méthode spécifique n'est exigée pour ce faire 3. Notion de "démontrabilité" des mesures mises en place

Pour ce faire, l'article 25 du RGPD est clair, il faut se baser sur l'état de l'art, autant pour l'article 32 (sécurité) que pour l'article 25 (DPbyDesign), des points de vue organisationnels et techniques.

Cette référence à "l'état de l'art" impose aux responsables de traitement de tenir une veille sur les progrès réalisés en matière technologiques. Une mesure positive à un instant T peut ne plus l'être à l'instant T+1.

Cette référence à "l'état de l'art" fait également appel à la notion de coûts (financiers, humains, temporels) de déploiement. Cela signifie que le responsable de traitement est en mesure de démontrer qu'il maîtrise les coûts des mesures sélectionnées.

Ces considérations doivent être prises au moment de la conception d'un traitement, mais également durant l'ensemble de son cycle de vie :

  • choix des fournisseurs / externalisation (y compris moins visibles)
  • développement informatique
  • assistance technique / utilisateur
  • Tierse maintenance applicative
  • Tests
  • Entrepôt, archivage
  • Suppression

Conseils "maison"

Adopter une procédure qui assure l'implication du DPO, ou au moins une appréciation des risques de sécurité de l'information et pour les droits et libertés des personnes dès la conception, en amont de tout changement dans un traitement (qu'il soit déjà connu ou non dans le registre des processus métiers / des traitements), autrement dit :

  1. à la conception d'un produit-traitement
  2. en cas de modification du traitement (dont externalisation)
  3. en fin de vie du traitement
  4. lors de tout changement dans l'environnement (interne comme externe)
  5. régulièrement à des intervalles planifiés
  6. en cas d'incident de sécurité ou d'exception
  7. en cas de découverte (émergence d'une nouvelle menace ou d'une nouvelle vulnérabilité)
  8. en cas d'incident de sécurité chez un sous-traitant, même sans relation directe avec son produit-service

Garder en mémoire active, lors des exécutions de cette procédure, l'état de l'art et les bonnes pratiques en matière de protection des données ainsi que la connaissance de l'environnement (dont les opportunités), afin de faire des choix éclairés, documentés, et archivés convenablement... de manière à pouvoir démontrer que la démarche a bel et bien été suivie correctement.

Auteur et licence

Baptiste LARVOL-SIMON <baptiste AT larvol-simon.fr>

Licence `CC By-SA <https://creativecommons.org/licenses/by-sa/2.0/fr/>`_ 2.0