Article 25
Protection des données dès la conception et protection des données par défaut

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 25 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 25 keyboard_arrow_up

(78) La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en oeuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données.Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 25.

Le GDPR

L'article 25 définit les obligations du responsable du traitement qui découlent des principes de protection des données dès la conception et de protection des données par défaut.

L’objectif du législateur européen est de rendre plus effectif et plus dynamique la protection des droits fondamentaux, en renforçant les principes classiques de nécessité, de proportionnalité, de finalité et de transparence avec de nouveaux principes comme la protection dès la conception (data protection by design cfr. article 25, paragraphe 1er) et protection par défaut (data protection by default cfr. article 25, paragraphe 2).

L’objectif de ces principes est de prendre en compte les droits et les intérêts des individus dès la conception du traitement de données et des paramétrages par défaut.

Selon le paragraphe 1er de l’article 25, le principe de data protection by design oblige le responsable du traitement à prendre des mesures et procédures techniques et organisationnelles appropriées – tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même- afin de le rendre conforme au Règlement, compte tenu des risques du traitement.  

Les mesures à adopter doivent tenir compte des techniques disponibles, des coûts liés à leur mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement comme de la probabilité et de la gravité du risque présenté par le traitement au regard des droits et des libertés des personnes physiques.

Parmi ces mesures, le paragraphe 1er cite la minimisation et la pseudonymisation. La notion de pseudonymisation doit être entendue comme « le traitement de données à caractère personnel de telle façon qu'elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable » (art. 4, 5). En revanche, la notion de minimisation ne fait l’objet d’aucune définition dans le Règlement mais est explicitée à l’article 5c.

En vertu de ce principe, de nouvelles techniques innovantes et responsables doivent être développées pour faciliter l’exercice des droits individuels d’opposition, d’accès, d’opt-out, de correction et du droit à la portabilité des données (cfr. EDPS, Opinion 7/2015 du 19 novembre 2015, p. 14 et suivants).

Le second paragraphe aborde le principe de data protection par default. Il oblige le responsable à adopter des mesures consistant à limiter par défaut le traitement de données à caractère personnel à ce qui est strictement nécessaire, en ce qui concerne la quantité de données traitées, leur accessibilité et à leur période de conservation. Ainsi, lorsque le traitement n’a pas pour finalité de fournir des informations au public, le principe de protection par défaut impose d’adopter des mécanismes garantissant que par défaut, les données sont rendues inaccessibles à un nombre indéterminé de personnes physiques, sans intervention de la personne concernée. Il s’agit en réalité d’une application stricte du principe de nécessité déjà contenu dans le principe de finalité lui-même.

Enfin, l’article 25, en son 3e paragraphe, prévoit in fine que le responsable de traitement peut avoir recours à un mécanisme de certification approuvé conformément à l'article 42 afin de démontrer le respect des obligations susmentionnées.

La Directive

Aucune disposition de la Directive ne porte spécifiquement sur la protection des données dès la conception et de la protection des données par défaut.

Difficultés probables ?

Les deux nouveaux devoirs de data protection by design and default poseront difficultés dans l’implémentation en ce qu’ils impliquent une prise en compte de la protection des données à tous les niveaux de processus -et à tous les métiers participants audit processus- de traitement. Ils imposent pour être correctement mis en œuvre une étroite collaboration entre différents métiers au sein de l’organisation du responsable du traitement et une sensibilisation, voire un véritable enseignement de chacun aux principes en cause : les métiers techniques des data (programmeurs, analystes, statisticiens, etc.), les métiers du legal et de la compliance et, le cas échéant, d’autres métiers opérationnels (marketing, etc.). Des processus spécifiques de contrôle devront être mis en place dès la conception d’un projet data.

La difficulté est d’autant plus ardue que l’on est face à des appréciations délicates (principes de nécessité, prise en considération du risque, etc.) qui exigent en réalité un savoir-faire et une pratique de longue date.

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices relatives à l’article 25 - 4/2019 (20 octobre 2020)

Les lignes directrices sont axées sur la mise en œuvre, par les responsables du traitement, de la protection des données dès la conception et de la protection des données par défaut sur la base de l’obligation prévue à l’article 25 du RGPD. D’autres acteurs, tels que les sous-traitants, les fabricants de produits, les prestataires de services ou les producteurs d’applications (ci-après les «producteurs»), qui ne sont pas directement visés par l’article 25, peuvent également trouver ces lignes directrices utiles pour créer des produits et des services conformes au RGPD, qui permettent aux responsables du traitement de s’acquitter des obligations qui leur incombent en matière de protection des données. Le considérant 78 du RGPD précise que la protection des données dès la conception et la protection des données par défaut devraient être prises en considération dans le cadre des marchés publics. Bien que tous les responsables du traitement aient l’obligation d’intégrer la protection des données dès la conception et la protection des données par défaut dans leurs activités de traitement, cette disposition favorise l’adoption des principes relatifs à la protection des données, pour lesquels les administrations publiques devraient montrer l’exemple. Le responsable du traitement est responsable du respect des obligations relatives à la protection des données dès la conception et à la protection des données par défaut, dans le cadre du traitement effectué par ses sous-traitants et sous-traitants ultérieurs. Par conséquent, il devrait tenir compte de cette obligation dans les contrats qu’il passe avec ces parties.

 L’article 25 impose l’obligation pour les responsables du traitement de s’assurer que la protection des données est intégrée comme paramètre par défaut dans le traitement des données à caractère personnel. Cette obligation s’applique à toutes les étapes du traitement. La protection des données dès la conception et la protection des données par défaut constituent également une obligation pour les systèmes de traitement préexistant à l’entrée en vigueur du RGPD. Les responsables du traitement doivent veiller à ce que le traitement soit constamment mis à jour conformément au RGPD. Pour de plus amples informations sur la manière de maintenir un système existant en conformité avec les principes relatifs à la protection des données dès la conception et à la protection des données par défaut, voir le sous-chapitre 2.1.4 des présentes lignes directrices. L’élément central de cette disposition est d’assurer une protection appropriée et effective des données, dès la conception et par défaut, ce qui signifie que les responsables du traitement devraient être en mesure de démontrer qu’ils ont mis en place les mesures et les garanties appropriées, dans le cadre du traitement, pour garantir l’effectivité des principes relatifs à la protection des données et des droits et libertés des personnes concernées.

Le chapitre deux des lignes directrices est axé sur l’interprétation des exigences énoncées à l’article 25 et examine les obligations juridiques instaurées par la disposition. Des exemples de la manière d’appliquer la protection des données dès la conception et la protection des données par défaut, dans le cadre des principes spécifiques relatifs à la protection des données, sont fournis au chapitre 3.

Les lignes directrices traitent, au chapitre 4, de la possibilité de mettre en place un mécanisme de certification pour démontrer le respect de l’article 25, et, au chapitre 5, de la manière dont les autorités de contrôle peuvent faire appliquer cet article. Enfin, les lignes directrices fournissent aux parties prenantes des recommandations sur la manière de mener à bien la mise en œuvre de la protection des données dès la conception et de la protection des données par défaut. Le comité européen de la protection des données, qui est conscient des défis que doivent relever les petites et moyennes entreprises (ci-après les «PME») pour s’acquitter pleinement de leurs obligations en matière de protection des données dès la conception et de protection des données par défaut, fournit au chapitre 6 des recommandations supplémentaires spécialement destinées aux PME.

Lien

Retour au sommaire

Sommaire

Belgique

France

Belgique

Jurisprudence belge

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/1333 (27 janvier 2021)

La Cour d'appel a annulé la décision de la DPA pour défaut de justification comme l'exige l'article 83 du RGPD et défaut de proportionnalité. La décision a été renvoyée à l'autorité qui est en outre tenue de rembourser les frais de justice de 1 400 €, la Cour ne pouvant elle-même réformer ou amender la décision.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°428451 (25 novembre 2011)

Concerne : Décret n° 2018-1254 du 26 décembre 2018 prévoyant l'accès de prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l'identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l'établissement.

Décision : Annulation du décret n°2018-1254 prévoyant l'accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et de prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, en tant, s'agissant de l'accès des commissaires aux comptes, qu'il ne prévoit pas des mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical et, s'agissant de l'accès des prestataires extérieurs, qu'il n'est pas assorti garanties suffisantes pour assurer que l'accès n'excède pas celui strictement nécessaire à l'exercice de leur mission.

1) Il résulte de l'article L. 823-9 du code de commerce que les commissaires aux comptes doivent seulement, pour l'accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l'exercice écoulé ainsi que de leur situation financière et de leur patrimoine.

Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l'article R. 625-3 du code de justice administrative, que l'accès à l'ensemble des données de santé, issues du dossier médical des patients, mentionnées à l'article R. 6113-1 du code de la santé publique (CSP), est nécessaire à l'accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l'établissement, depuis l'admission du patient jusqu'à la facturation.

En revanche, il n'en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l'objet de mesures de protection techniques et organisationnelles adéquates, telles que - à défaut du recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement - la pseudonymisation des données, dont l'article 25 du RGPD prévoit la mise en œuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées.

Par suite, si le décret attaqué a pu, sans méconnaître la portée de l'article L. 6113-7 du CSP, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d'une part, à prévoir qu'ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l'obligation de secret à laquelle ils sont soumis et, d'autre part, à limiter leur accès aux seules données nécessaires dans la stricte limite de ce qui est nécessaire à leurs missions, sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d'illégalité en tant qu'il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par l'article L. 1110-4 du CSP.

2) En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l'article R. 6113-1 du CSP sont placés sous la responsabilité du médecin responsable de l'information médicale, qu'ils interviennent dans le cadre de leur contrat de sous-traitance, qu'ils sont soumis à l'obligation de secret, dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal, qu'ils peuvent accéder aux seules données à caractère personnel nécessaires dans la stricte limite de ce qui est nécessaire à leurs missions et qu'ils ne peuvent conserver les données mises à disposition par l'établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu'ils accomplissent effectivement ces activités sous l'autorité du praticien responsable de l'information médicale, quel qu'en soit le lieu, le décret attaqué n'a pas prévu de garanties suffisantes pour assurer que l'accès aux données n'excède pas celui qui est strictement nécessaire à l'exercice de la mission qui leur est reconnue par la loi.

3) Dans l'attente que soit édictée la réglementation complémentaire qu'implique nécessairement l'exécution de l'annulation ainsi prononcée, celle-ci a nécessairement pour effet, pour éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret attaqué organise le traitement des données à caractère personnel relatives à la santé, d'une part, que les commissaires aux comptes, s'ils n'ont pas recours, à titre d'expert, à un médecin responsable de l'information médicale dans un autre établissement, ne se voient remettre que des données pseudonymisées et, d'autre part, que chaque établissement de santé s'assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l'information médicale de chaque établissement de santé soit en mesure d'organiser et contrôler le travail des prestataires placés sous sa responsabilité, comme l'impose l'article L. 6113-7 du CSP, ce qui implique que soient connus la composition des équipes, le lieu d'exercice de l'activité et le détail des prestations réalisées, et qu'il puisse veiller à ce qu'ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 25

1. Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en oeuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément attestant du respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Proposition 1 close

1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée.

 2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l’ensemble des secteurs, produits et services.

4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. (...) Compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité du risque présenté par le traitement au regard des droits et des libertés des personnes physiques, les responsables du traitement appliquent (…) des mesures techniques et organisationnelles appropriées pour l'activité de traitement menée et ses objectifs, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et (…) assure la protection des droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures appropriées pour garantir que, par défaut, seules (…) les données à caractère personnel (…) qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées; cela s'applique à la quantité de (…) données collectées, à l'étendue de leur traitement, à leur période de conservation et à leur accessibilité. Lorsque le traitement n'a pas pour finalité de fournir des informations au public, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques, sans intervention humaine.

2 bis. Un mécanisme de certification approuvé conformément à l'article 39 peut être utilisé comme moyen de démontrer le respect des exigences visées aux paragraphes 1 et 2.

3. (…)

4. (…)

Directive close

Aucune disposition correspondante

Aucune disposition spécifique

Ancienne loi close

Aucune disposition correspondante

close