Privacy by design / default

Notre cabinet vous accompagne dans la mise en conformité de votre organisme au regard des principes de privacy by design et privacy by default imposés par le Règlement Général sur la Protection des Données (RGPD).

Nos prestations

1
Dans le cadre de votre mise en conformité

au RGPD, nous vous orientons et accompagnons sur les principes de protection des données dès la conception et par défaut.

2
Nous assurons une mise en conformité

complète de l’ensemble de vos traitements de données à caractère personnel mis en œuvre au sein de votre organisme.

3
Nous veillerons

à ce que les principes de minimisation des données, de durée de conservation, ou encore de pseudonymisation soient respectés.

4
Nous vous accompagnerons notamment dans
  • Le respect des exigences du RGPD
  • La réalisation d’une analyse impact
  • La désignation d’un délégué à la protection des données (DPO)
  • La tenue d’un registre de traitements

I. La protection des données par défaut (Privacy By default)

Selon l’article 25.2 du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Selon l’article 5 c) du RGPD, les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Cet article consacre le principe de minimisation des données. Seules les données strictement nécessaires aux finalités du traitement peuvent être collectées.

A titre d’exemple, un organisme qui souhaite mettre en place un formulaire de contact sur son site internet permettant à la personne concernée d’être rappelée, ne peut collecter que les données nécessaires à cette finalité. Ainsi, seuls les nom et numéro de téléphone de la personne sont susceptibles d’être collectés.

De plus, les champs obligatoires doivent être marquées par un astérisque. Ils doivent être pertinents et nécessaires à la finalité envisagée.

Les données à caractère personnel collectées ne doivent pas être accessibles à n’importe quelle personne. Leur accès ne peut se faire que par des personnes habilitées, sur autorisation du responsable de traitement et aux seules données nécessaires à leur fonction.

Selon l’article 5 e), les données à caractère personnel collectées doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Conformément au principe de privacy par défaut, dès la mise en œuvre du traitement, une purge automatique des données doit être mise en œuvre. Il faut que par défaut, cette purge soit programmée au terme de la durée de conservation.

privacy-by-design-default-01.jpg

II. La protection des données dès la conception (Privacy By design)

Selon l’article 25.2 du RGPD, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées qui sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du règlement et de protéger les droits de la personne concernée.

Dès la conception produit le responsable de traitement doit intégrer les principes du RGPD et mettre en œuvre le traitement de données conformément aux obligations qui lui incombent.

L’analyse d’impact participe au respect du principe de Privacy by design. La protection des données à caractère personnel doit être envisagée avant même la mise en œuvre du traitement.

Une analyse d’impact devra être effectuée avant la mise en œuvre d’un traitement de données à caractère personnel lorsque celui-ci est susceptible de présenter un risque élevé pour les droits et libertés des personnes notamment par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

L’article 35 du RGPD prévoit qu’une analyse d’impact est requise lorsque le traitement de données à caractère personnel permet l’évaluation systématique et approfondie d’aspects personnels des personnes, le traitement à grande échelle de données dites sensibles ou relatives à des condamnations pénales et la surveillance systématique à grande échelle d’une zone accessible au public.

Lorsque l’analyse d’impact révèle que le traitement envisagé présente un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit consulter la CNIL préalablement à sa mise en œuvre.

Conformément à l’article 30 du RGPD, chaque responsable de traitement est tenu de tenir un registre des traitements mis en œuvre dans son organisme. Ce registre doit détailler l’identité du responsable de traitement, les finalités du traitement, les catégories de personnes concernées, les destinataires des données, si ces données fond l’objet d’un transfert hors de l’Union européenne, les délais de conservation ainsi que les mesures de sécurité prises.

Ce registre doit être conservé au sein de la documentation de mise en conformité RGPD tenue à la disposition de la CNIL et régulièrement mis à jour.

Il participe à la preuve de la conformité du traitement à la règlementation relative au droit des données à caractère personnel.

Le DPO veille au respect et à la bonne application de la règlementation en matière de données à caractère personnel. Il s’assure dès lors que dès leur conception, les traitements de données à caractère personnel respectent les principes de protection des données, notamment de privacy by design.

Il constitue ainsi la documentation nécessaire à prouver le respect de la règlementation par l’organisme.

Il prend part aux questions portant sur le domaine. Il est l’interlocuteur privilégié des personnes concernées par les traitements de données effectués par l’organisme. Les demandes d’information et d’exercice des droits se feront directement auprès de lui. Cette documentation est tenue à la disposition de la Cnil et transmise en cas de demande. Elle est composée du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation.

La mise en conformité RGPD comprend également la mise en œuvre de mesures techniques et organisationnelles au sein de l’organisme afin de garantir la sécurité du traitement de données à caractère personnel effectué (article 32 du RGPD).

La sécurité physique des données à caractère personnel mais également numérique doit être assurée par le responsable de traitement. Des mesures tels que la pseudonymisation (permettant de ne plus relier directement les données collectées à une personne, sans recourir à des informations supplémentaires), de chiffrement des données, de confidentialité ou autres doivent être mises en œuvre afin d’assurer dès la conception du traitement une protection efficace des données conformément au principe de privacy by design.

privacy-by-design-default-02.jpg

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.