Qu’impliquent ces nouveaux principes pour les entreprises ? Comment se concrétisent-ils ? Nous répondrons à ces questions en démontrant qu’ils doivent résulter d’une politique interne de gestion des risques dans le domaine en présentant notamment des outils et référentiels destinés à tous.
Définitions des principes
Tous deux décrits à l’article 7 de la nouvelle loi fédérale relative à la protection des données personnelles, le principe de privacy by design, ou de protection des données dès la conception, implique que « le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données […]. Il le fait dès la conception du traitement« . Concept plutôt abstrait, il pousse ainsi le responsable du traitement à réfléchir à la problématique des données personnelles à l’état même de projet.
Quant au principe de privacy by default, ou de protection par défaut, « le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement« . Un exemple concret de cette règle est la technique de l’opt-in pour consentir aux cookies lors de la navigation sur un site internet. C’est-à-dire que, par défaut, les cases de consentement aux divers types de cookies ne sont pas cochées, l’utilisateur devra consentir activement aux cookies par l’action de cocher. Par défaut, le site offre donc un traitement des données personnelles limité au minimum s’agissant de sa politique de cookies.
Application par la gestion des risques
Parce que la sécurité des données au sein d’une entreprise représente des risques non négligeables pouvant aboutir à un préjudice réputationnel et économique, ces principes impliquent alors de mener une véritable politique de gestion des risques.
Une telle politique vise à identifier, évaluer et hiérarchiser les risques liés aux activités d’une entreprise, ciblés ici dans la protection des données personnelles, ou, plus généralement, des données. Une fois identifiés, il s’agit ensuite de les traiter de façon méthodique et coordonnée afin de les contrôler, non seulement sur leur probabilité de survenance mais aussi sur les éventuels impacts sur l’entreprise résultant de cette survenance.
Intégrer une politique de gestion des risques au sein d’une entreprise représente alors un certain investissement, cependant nécessaire au vues des risques relatifs à la sécurité des données auxquels chaque organisme est aujourd’hui exposé. En cas de survenance d’un tel évènement, la réparation de ce dernier demandera au contraire bien plus de temps et donc d’investissement à l’entreprise pour rétablir la situation si les bases du projet ne sont pas organisées et conformes aux législations relatives à la protection des données personnelles.
Entreprendre, c'est gérer des risques au quotidien.
Méthodologie
C’est par conséquent dès l’idée même du projet, de sa réflexion, que le sujet de la protection des données personnelles doit être pensé et abordé. Pour ce faire, outre de nombreuses certifications existantes, plusieurs référentiels et outils peuvent guider les entreprises dans la méthodologie parfois obscure de la gestion des risques.
S’agissant dans un premier temps de la conception même d’un projet, la méthode HERMES facilitera cette gestion en étant utilisée dans les domaines de l’informatique, du développement de prestations ou de produits. Elle englobe le pilotage, la conduite et l’exécution de projets plus ou moins complexes. Plus précisément dans la méthodologie HERMES, le concept SIPD (Sûreté de l’Information et Protection des Données) permet de réaliser une analyse des risques, en définissant les indications nécessaires pour le maintien et l’amélioration de la sûreté de l’information et la protection des données et récapitule ces aspects. En demandant de décrire le système global, les données à traiter ou encore la technologie utilisée, ce concept pousse l’entreprise à la réflexion et donc, par un effet d’entonnoir, à l’analyse des risques tout cela au plus tôt dans la vie du futur système, idéalement durant la phase de conception. Cette approche répond par conséquent à l’obligation de privacy by design autant que sur les aspects de « security-by-design ».
De façon plus globale, une analyse SWOT (Strenghts, Weakness, Opportunities et Threats) permet de mettre en exergue les risques internes et externes à l’entreprise dans un domaine définit. Poussant moins à l’analyse que la méthode HERMES et son concept SIPD, elle amène tout de même à la réflexion et permet de d’initier un plan d’action d’un point de vue des risques.
Dans un autre registre, la CNIL (Commission Nationale Informatique et Liberté), autorité de contrôle française, a publié en janvier 2020 un guide RGPD pour les développeurs. A travers 16 fiches thématiques, elle accompagne les développeurs à chaque étape de leur projet de création, de la préparation à la mesure de l’audience, afin de concevoir, un site ou une application par exemple, dans le respect des principes relatifs à la protection des données personnelles.
Ces trois exemples, tous différents tant par leur degré d’investissement que dans leur spectre plus ou moins large, représentent des exemples concrets de méthodologie pour appréhender les principes de privacy by design et by default nouvellement consacrés et permettent ainsi d’accompagner les entreprises dans leurs projets IT. Comme toute nouvelle habitude, la mise en place de ces concepts peut représenter un certain investissement dans leurs débuts, mais ils s’avèrent être de véritables alliés pour mener à bien des ambitions impliquant des données personnelles pour non seulement être en conformité avec les législations en vigueur, mais aussi pour concevoir de façon organisée ses projets.
