Afficher les considérants du Règlement liés à l'article 25 keyboard_arrow_down
Cacher les considérants du Règlement liés à l'article 25 keyboard_arrow_up
(78) La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en oeuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données.Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 25.
Le GDPR
L'article 25 définit les obligations du responsable du traitement qui découlent des principes de protection des données dès la conception et de protection des données par défaut.
L’objectif du législateur européen est de rendre plus effectif et plus dynamique la protection des droits fondamentaux, en renforçant les principes classiques de nécessité, de proportionnalité, de finalité et de transparence avec de nouveaux principes comme la protection dès la conception (data protection by design cfr. article 25, paragraphe 1er) et protection par défaut (data protection by default cfr. article 25, paragraphe 2).
L’objectif de ces principes est de prendre en compte les droits et les intérêts des individus dès la conception du traitement de données et des paramétrages par défaut.
Selon le paragraphe 1er de l’article 25, le principe de data protection by design oblige le responsable du traitement à prendre des mesures et procédures techniques et organisationnelles appropriées – tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même- afin de le rendre conforme au Règlement, compte tenu des risques du traitement.
Les mesures à adopter doivent tenir compte des techniques disponibles, des coûts liés à leur mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement comme de la probabilité et de la gravité du risque présenté par le traitement au regard des droits et des libertés des personnes physiques.
Parmi ces mesures, le paragraphe 1er cite la minimisation et la pseudonymisation. La notion de pseudonymisation doit être entendue comme « le traitement de données à caractère personnel de telle façon qu'elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable » (art. 4, 5). En revanche, la notion de minimisation ne fait l’objet d’aucune définition dans le Règlement mais est explicitée à l’article 5c.
En vertu de ce principe, de nouvelles techniques innovantes et responsables doivent être développées pour faciliter l’exercice des droits individuels d’opposition, d’accès, d’opt-out, de correction et du droit à la portabilité des données (cfr. EDPS, Opinion 7/2015 du 19 novembre 2015, p. 14 et suivants).
Le second paragraphe aborde le principe de data protection par default. Il oblige le responsable à adopter des mesures consistant à limiter par défaut le traitement de données à caractère personnel à ce qui est strictement nécessaire, en ce qui concerne la quantité de données traitées, leur accessibilité et à leur période de conservation. Ainsi, lorsque le traitement n’a pas pour finalité de fournir des informations au public, le principe de protection par défaut impose d’adopter des mécanismes garantissant que par défaut, les données sont rendues inaccessibles à un nombre indéterminé de personnes physiques, sans intervention de la personne concernée. Il s’agit en réalité d’une application stricte du principe de nécessité déjà contenu dans le principe de finalité lui-même.
Enfin, l’article 25, en son 3e paragraphe, prévoit in fine que le responsable de traitement peut avoir recours à un mécanisme de certification approuvé conformément à l'article 42 afin de démontrer le respect des obligations susmentionnées.
La Directive
Aucune disposition de la Directive ne porte spécifiquement sur la protection des données dès la conception et de la protection des données par défaut.
Difficultés probables ?
Les deux nouveaux devoirs de data protection by design and default poseront difficultés dans l’implémentation en ce qu’ils impliquent une prise en compte de la protection des données à tous les niveaux de processus -et à tous les métiers participants audit processus- de traitement. Ils imposent pour être correctement mis en œuvre une étroite collaboration entre différents métiers au sein de l’organisation du responsable du traitement et une sensibilisation, voire un véritable enseignement de chacun aux principes en cause : les métiers techniques des data (programmeurs, analystes, statisticiens, etc.), les métiers du legal et de la compliance et, le cas échéant, d’autres métiers opérationnels (marketing, etc.). Des processus spécifiques de contrôle devront être mis en place dès la conception d’un projet data.
La difficulté est d’autant plus ardue que l’on est face à des appréciations délicates (principes de nécessité, prise en considération du risque, etc.) qui exigent en réalité un savoir-faire et une pratique de longue date.
