Article 25 – Protection des données dès la conception et protection des données par défaut
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
…
Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.
L’objectif du législateur a été dans cet article de vous obliger à bien prendre en compte la protection des droits fondamentaux. Il vous oblige à tout penser via ce prisme (principes de nécessité). Et ce dès la conception avec le « data protection by design » et la protection par défaut « data protection by default« .
Ces grands principes de « data protection by design » et « data protection by default » ont pour objectif de prendre en compte les droits et les intérêts des individus dès la conception du traitement de données et des paramétrages par défaut. Ainsi, tous les participants aux projets dans votre entreprise doivent être bien au fait des règles de protections des données personnelles du RGPD. (cf : formation des collaborateurs au RGPD)
Le principe de data protection by design vous oblige à prendre les mesures et mettre en place les procédures techniques et organisationnelles appropriées :
– au moment de la définition du traitement
– au moment du traitement lui-même pour de le rendre conforme au Règlement.
Bien entendu, les mesures que vous aurez à adopter doivent tenir compte
- des techniques disponibles,
- des coûts liés à leur mise en œuvre vis à vis de la nature,
- de la portée,
- du contexte et
- des finalités du traitement et suivant la gravité du risque et de sa probabilité. Ce n’est donc pas si simple de positionner le curseur.
la pseudonymisation.
La notion de pseudonymisation est le fait que vous mettiez en place un traitement des données à caractère personnel de telle façon qu’elles ne puissent plus être attribuées à une personne physique. Si vous conservez des informations supplémentaires séparément et soumises à des mesures de sécurité techniques et organisationnelles, vous gardez le droit de retrouver la vraie personne cachée derrière cette pseudonymisation.
la protection par default
Elle vous oblige à adopter des dispositions consistant à limiter par défaut le traitement de données à caractère personnel :
- limiter à ce qui est strictement nécessaire,
- limiter la quantité de données traitées, et leur accessibilité
- limiter leur période de conservation.
Enfin, cet article 25, vous propose explicitement d’avoir recours à une certification approuvée conformément à l’article 42 vous permettant de démontrer le respect des obligations du RGPD. Nous pensons donc que le fait d’être certifiée pour les PME sera dans un avenir proche, une obligation.
Un peu comme nous avons aujourd’hui l’attestation d’assurance, dans quelques années on vous demandera votre certificat de conformité.
