Privacy by Design/by Default et Accountability : les deux principes posés par le RGPD

Privacy by Design/by Default et Accountability : les deux nouveaux principes posés par le RGPD

Le principe de Privacy by Design/by Default

Ce concept impose aux entreprises d’intégrer les principes de protection des données à caractère personnel dès la création d’un projet, d’un service, ou de tout autre outil lié à l’utilisation de ces données.

Il implique :

La minimisation de la collecte des données

L’entreprise ne peut collecter que les données à caractère personnel qui sont considérées comme indispensables et nécessaires aux finalités déterminées pour le traitement. Par exemple, on ne collecte pas le téléphone personnel ni la date de naissance d’un individu si ces données ne sont pas nécessaires au traitement.

La limitation des finalités de la collecte

Une donnée personnelle ne peut être collectée que pour un objectif bien particulier (par exemple : l’ouverture d’un compte client). Bien entendu, cet objectif doit être légitime ! Il faudra également veiller à ce que les traitements ultérieurs soient eux aussi compatibles avec ces finalités (exemple : utiliser les données des salariés pour leur proposer les services de l’entreprise n’est donc pas autorisé).

Le respect de l’intégrité et de la confidentialité des données

La sécurité des données personnelles constitue la colonne vertébrale du RGPD. L’entreprise devra mettre en place des mesures de sécurité physiques, logiques et organisationnelles.

La limitation de la conservation des données

Les données ne doivent pas être conservées par l’entreprise au-delà de la durée nécessaire à la finalité du traitement (par exemple, la durée de conservation des données des clients et prospects est limitée à 3 ans). Un guide sur les durée de conservation est actuellement en cours d’élaboration par les services de la CNIL.

 

Le principe d’Accountability

Il s’agit, pour les entreprises, de prendre des mesures internes permettant de démontrer le respect des règles relatives à la protection des données.

De ce fait, la plupart des formalités préalables auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) telles que les déclarations et autorisations ont été supprimées, au profit d’une logique de conformité continue. La CNIL incite donc les organisations à désigner un délégué à la protection des données (DPO), qui a pour mission d’apporter la preuve que les mesures appropriées ont été prises. Les traitements courants qui ne font plus l’objet d’une déclaration à la CNIL, figurent désormais obligatoirement dans un registre.

Ce principe engage les organisations qui traitent des données personnelles, à :

  • Adopter des procédures internes dans le but d’assurer le respect du règlement (charte informatique, charte de protection des données à caractère personnel)
  • Conserver une trace documentaire de tout traitement effectué sous sa responsabilité ou celle de son sous-traitant (tenue du registre des traitements, accords de confidentialité des salariés et des prestataires, politique de sécurité de l’entreprise, procédures de gestion des demandes d’accès, de rectification, d’opposition, etc.)
  • Réaliser une analyse d’impact (PIA) pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées.

Pour aider les entreprises dans leur mise en conformité, la CNIL met à leur disposition sur son site internet des explications sur le RGPD, ainsi qu’un certain nombre d’outils (packs de conformité, exemple de registre, guides à l'intention des TPE, des startups, outil de PIA, etc.)

 

À lire aussi

Nos experts vous aident dans votre mise en conformité : téléchargez notre guide et regardez notre webinar