Les cinq clés pour mettre en place le privacy by design

Cybercriminalité, scandales d’atteinte à la vie privée, obligations réglementaires… Que vous soyez Facebook ou une simple PME, vous avez tout intérêt à protéger la vie privée de vos utilisateurs et utilisatrices. Rien de plus efficace pour ça que d’y penser à chaque étape de la conception de vos projets.

Après une année 2017 marquée par les incidents de cybersécurité et un début 2018 marqué par la prise de conscience des internautes, les entreprises ne peuvent plus se permettre de réparer les problèmes quand ils arrivent. Elles doivent anticiper les risques pour les éviter. C’est tout le sens du Privacy By Design : mettre en place le plus haut niveau possible de protection des données personnelles dès la conception des applications, produits ou services.

Garantir cette protection deviendra obligatoire le 25 mai 2018 avec l’application du Règlement sur la protection des données à caractère personnel (ou RGPD). Le non-respect de ces exigences expose les entreprises à une sanction pouvant aller jusqu’à 4% de leur chiffre d’affaires global. A ce risque financier s’ajoute un risque d’image. Les sanctions seront en effet accompagnées d’une publication sur le site de l’autorité du pays (la CNIL en France), ce qui pourrait refroidir les investisseurs, connus pour préférer les entreprises qui se protègent des risques financiers.

Le privacy by design va donc devenir le new normal. Mais comment le mettre en place ?

Intégrer des règles sur la protection de la vie privée dès la conception des outils

Les équipes doivent s’interroger sur la protection de la vie privée à tous les moments de la vie du projet : de l’étude de faisabilité (PoC) jusqu’à la maintenance. Si Mattel avait pris en compte le privacy by design dès l’étape de conceptualisation, elle aurait pu réaliser que son projet d’enceinte connectée pour enfants ne permettait pas une bonne protection de leur vie privée et aurait ainsi pu abandonner ce projet avant qu’un scandale n’éclate.

Limiter par défaut le nombre de données partagées

Pour éviter que les données ne soient piratées ou mal utilisées, le mieux est encore d’en conserver le moins possible et de ne partager que celles qui sont absolument nécessaires. Les systèmes doivent donc, par défaut, restreindre le partage des données aux seules personnes concernées et les laisser choisir ce qu’elles souhaitent partager. Si vous développez une application sportive par exemple, cela veut dire que les données personnelles sont, par défaut, inaccessibles aux autres membres de l’appli et non publiées sur les réseaux sociaux. Partager ses informations doit être un choix actif et éclairé de la personne concernée.


Lire aussi : Le Edge computing va rendre l’IA plus écologique, rapide et éthique

Mettre en place des mesures techniques et organisationnelles

Les défaillances de sécurité peuvent coûter cher. Pour les éviter, il faut d’une part développer une batterie de contrôles réguliers qui sera intégrée au sein des processus internes, tels que des systèmes de détection d’intrusion, des audits de sécurité ou encore du chiffrement et, d’autre part, sensibiliser les équipes en charge du traitement des données. Les collaborateurs et collaboratrices doivent en effet intégrer la protection des données personnelles à leurs processus de travail, en restreignant par exemple les accès aux datas aux seules personnes légitimes d’y accéder.

Un verrou sur une porte

Les entreprises doivent trier les données à partager ainsi que les personnes pouvant y avoir accès. Image de Savushkin

Garantir la sécurité des données tout au long de leur cycle de vie

Qu’advient-il des données qui ne sont plus utilisées ? Il est important de s’assurer que les données sont protégées de leur collecte à leur suppression. Il faut pour cela identifier les durées de conservation des données pour chacun des traitements et assurer une gestion de leur purge à péremption. A côté de cela, il faut aussi pouvoir supprimer les données lorsqu’une personne souhaite exercer son droit à l’oubli, et ce, dans tous les systèmes applicatifs concernés, y compris le back-office ou les sauvegardes.

D’autre part, à n’importe quel moment de la vie des données, il est nécessaire d’avoir recours à des mesures de sécurité pour les protéger, telles que la pseudonymisation, le chiffrement ou l’archivage.

Assurer la visibilité et la transparence

Les utilisateurs et utilisatrices doivent être informées de l’usage de leurs données et y consentir. Il faut donc non seulement expliquer de façon claire, simple et précise comment les données personnelles seront utilisées, mais aussi permettre aux personnes concernées de donner leur consentement, de pouvoir gérer leurs données et les contrôler facilement. Récemment, la CNIL a demandé à un cabinet dentaire de payer une sanction de 10 000€ pour non-réponse à l’exercice d’un droit d’accès et non-coopération avec l’autorité.

Le privacy by design constitue donc avant tout un changement de mentalité. Pour respecter les obligations réglementaires et les attentes des internautes, les entreprises doivent penser à la protection des données à chaque instant. Dès lors, le RGPD ne freine plus l’innovation mais la renforce.

Image d’en-tête de scyther5

A lire aussi

La communauté des leaders de l'innovation

Innovating in good company

Rejoignez-nous