La « protection de la vie privée par défaut » dans la pratique, selon l'Autorité espagnole de protection des données.

markus-spiske-iar-afB0QQw-unsplash.jpg

À quelques exceptions près, le RGPD a été adopté à l'identique dans toute l'Europe. En Espagne, l'Autorité espagnole de protection des données s'est prononcée sur le principe général de la protection des données par défaut, un concept clair dans l'abstrait mais difficile à mettre en œuvre dans la pratique :

Selon l'Autorité espagnole de protection des données, le responsable du traitement (l'entreprise) doit, par défaut, ne traiter que les données nécessaires à chaque finalité spécifique du traitement. C'est exactement le contraire de ce qui se passe lorsque, dans un formulaire en ligne, la case permettant de s'abonner à la newsletter est « cochée par défaut ».

Le guide de l'Autorité espagnole de protection des données [https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf] propose une approche pratique pour aider à appliquer ce principe au traitement des données, conformément aux dispositions du RGPD et aux lignes directrices adoptées par le Comité européen de la protection des données.

Ce document s'adresse aux responsables du traitement, aux délégués à la protection des données, mais aussi aux développeurs ou prestataires, dans la mesure où ceux-ci fournissent des produits et services aux responsables du traitement et cherchent à s'assurer que ces derniers respectent les exigences du RGPD.

Le concept de « respect de la vie privée par défaut » impose de segmenter l'utilisation de l'ensemble des données entre les différentes opérations de traitement et entre les différentes étapes du traitement, de sorte que toutes les opérations effectuées dans le cadre d'un traitement ne soient pas réalisées sur l'ensemble des données, mais uniquement sur celles qui sont nécessaires et aux moments où cela est strictement nécessaire.

Le traitement doit être le moins intrusif possible (quantité minimale de données à caractère personnel, portée minimale du traitement, durée de conservation minimale et accès minimal aux données à caractère personnel) et ne pas nécessiter l'intervention de la personne dont les données sont traitées.

La mise en œuvre de ces mesures s'articule autour de l'optimisation, de la configurabilité et des stratégies de limitation.

L'objectif de l'optimisation est d'analyser le traitement des données sous l'angle de la protection des données, ce qui implique de mettre en œuvre des mesures concernant la quantité de données collectées, l'étendue du traitement, leur stockage et leur accessibilité.

La deuxième stratégie concerne la configuration des services, des systèmes ou des applications, qui doit permettre de définir des paramètres ou des options déterminant les modalités du traitement, et qui sont susceptibles d'être modifiés tant par l'entreprise que par l'utilisateur.

Enfin, cette limitation garantit que, par défaut, le traitement respecte autant que possible la vie privée, de sorte que les options de configuration soient adaptées aux paramètres qui limitent la quantité de données collectées, l'étendue du traitement, leur stockage et leur accessibilité.

Ce guide contient également un document opérationnel et modifiable présentant les mesures à adopter pour la mise en œuvre des stratégies par défaut en matière de protection des données en espagnol, ainsi qu'un chapitre consacré à la documentation et à l'audit, nécessaires pour démontrer la conformité à la norme.

Le principe de la protection de la vie privée par défaut ne découle pas d'une analyse des risques pesant sur les droits et libertés, mais consiste en des mesures et des garanties qui doivent être mises en place chaque fois qu'un traitement de données à caractère personnel est effectué.

Retour
Retour

Développement durable et gouvernance d'entreprise : la consultation en ligne lancée par la Commission européenne.

Suivant
Suivant

Technologie 5G : vitesse, données et responsabilités.