Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), le traitement des données personnelles implique la mise en place de nouvelles mesures visant à garantir une utilisation respectueuse de ces données. Plus précisément, l’article 25§1 dudit règlement impose aux entreprises la mise en œuvre de techniques spécifiques dès la première étape de la conception de leur système de traitement de données, de manière à anticiper toute atteinte ultérieure aux données des utilisateurs : on parle alors de « protection des données dès la conception » (le terme anglophone étant le ‘Privacy by design’).
Pour rappel, la première génération de protection des données personnelles est apparue dans les années 1970 : les Etats de l’Organisation de Coopération et de Développement Economique (OCDE) mettent en place un cadre juridique général dans le but d’encadrer les pratiques en matière de traitement des renseignements personnels des individus à travers différents textes. A titre d’exemple, nous pouvons citer les lignes directrices régissant la « protection de la vie privée et les flux transfrontaliers de données à caractère personnel ».¹
La seconde génération permet quant à elle la création d’autorités de protection des données personnelles. La directive européenne relative à “la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données” de 1995est l’un des textes phares de cette seconde génération. Cependant, à partir de ce moment-là, certaines personnalités telles que Yves Poullet, professeur universitaire et directeur de la Commission de la Protection de la Vie Privée (CRID) pendant 12 ans, font valoir qu’un tel régime ne peut être pleinement efficace sans l’implication des différents acteurs en présence, et notamment, de l’implication concrète des entreprises dans la conception de leur système informatique de traitement des données.
Enfin, la troisième génération de protection des données personnelles est illustrée par l’entrée en vigueur du RGPD le 25 mai 2018. Elle comporte, notamment, la mise en place d’une obligation pour toute entreprise de respecter la protection des données personnelles dès la conception de leur système de traitement des données. Ce concept se nomme le Privacy by design. Le but est d’optimiser la protection des données en intervenant en amont, dès la conception des outils. Cela permet donc de réduire au maximum les risques de collecte et d’usages inappropriés des données personnelles et d’augmenter ainsi la confiance des utilisateurs dans l’usage des services proposés.
Le concept de protection de la vie privée dès la conception, ou Privacy by design en anglais, repose sur le principe suivant : la protection de la vie privée de tout utilisateur doit intervenir dès la conception des systèmes informatiques. Le but est donc de prévenir, en amont, les failles en matière de confidentialité en mettant la technologie au service de la vie privée.
Ce principe est développé dès 1999 par Ann Cavoukian, ancienne commissaire à l’information et à la protection de la vie privée de l’Etat d’Ontario. Ann Cavoukian a développé sept principes fondamentaux que doivent respecter les entreprises afin de respecter pleinement le Privacy by design. Parmi ces principes figurent notamment :
Le concept de Privacy by design est repris et intégré en droit positif au sein de l’article 25 du RGPD, dénommé « protection des données dès la conception et protection des données par défaut ».
L’article dispose dans son premier paragraphe que « le responsable de traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données ».
L’article 25§1 prévoit donc qu’il incombe au responsable de traitement et à ses sous-traitants de respecter une obligation de protection dès la conception. Cette protection doit intervenir :
Afin d’assurer une telle protection, les responsables de traitement doivent mettre en place des mesures techniques ou organisationnelles spécifiques. Concrètement, l’article 25 donne pour exemple une mesure pouvant entrer dans le cadre de ce dispositif : la pseudonymisation. Il s’agit ici de préserver la nature confidentielle des informations en empêchant toute identification directe ou indirecte de la personne physique, grâce à un nom d’emprunt ou à un numéro client par exemple.
L’article 25§1 indique par ailleurs que le responsable de traitement détermine ces mesures en fonction, notamment, de l’état des connaissances actuelles, leur coût, la portée et la finalité du traitement.
Cet article propose donc certaines mesures à mettre en place et guide le responsable de traitement dans la manière dont il doit les sélectionner. Cependant, il n’explique pas le concept de « protection dès la conception » en lui-même. C’est la raison pour laquelle, encore aujourd’hui, nous nous référons aux sept principes développés par Ann Cavoukian en 1999 pour comprendre la teneur du principe de Privacy by design.
La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité administrative indépendante chargée de veiller à l’application conforme du RGPD, et a fortiori, au respect du concept de Privacy by design. Les différentes infractions sont sanctionnées graduellement en fonction de leur gravité : les sanctions vont du simple avertissement à une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial s’il s’agit d’une entreprise. A cela peuvent s’ajouter les dommages et intérêts versés aux personnes concernées lorsque celles-ci ont été victimes d’un préjudice.
Concrètement, dans l’hypothèse où une entreprise est contrôlée par la CNIL, celle-ci doit être en mesure de démontrer les actions entreprises pour respecter le principe de Privacy by design. Si l’autorité considère que les mesures sont insuffisantes, des sanctions pourraient donc être prononcées.
Il existe toutefois un aspect négatif à l’avancée réglementaire du Privacy by design. En effet, les entreprises peuvent, sous couvert du principe de Privacy by design, dissimuler certaines pratiques d'exploitation de la vie privée.
Il convient à ce titre d’évoquer la nouvelle approche de Google, le Federated Learning of Cohorts (FLoC) en matière de publicité comportementale. Le FLoC a été conçu, en principe, pour répondre aux nouvelles exigences sur la protection de la vie privée à l’échelle mondiale et notamment au concept de « privacy by design » et de minimisation des données. L’objectif est de classer les utilisateurs par groupe (“cohorte”) en fonction de leur comportement de navigation. Chaque groupe est identifié par un “identifiant de cohorte”, et seule l’information du groupe auquel l’utilisateur appartient est transmise aux sites Web et aux spécialistes de marketing. Les publicités seront donc ciblées en fonction du groupe de cohorte auquel l’utilisateur appartient, sans que d’autres informations (historiques de navigation, profilage individualisé...) ne leur soient transmises.
Pour autant, cet outil n’en reste pas moins un outil de traitement de données et, sous couvert de protection de la vie privée, il permet seulement un basculement d’un mode de suivi des utilisateurs vers un autre mode de suivi, tout aussi performant.
En effet, selon la Electronic Frontier Foundation, ONG internationale de protection des libertés sur Internet basée à San Francisco : « Le discours de Google aux défenseurs de la vie privée est qu'un monde avec FLoC sera meilleur que le monde actuel, où les courtiers en données et les géants de la publicité traquent et profilent en toute impunité. Mais ce cadre est basé sur une fausse prémisse selon laquelle nous devons choisir entre "l'ancien suivi" et "le nouveau suivi". Ce n'est pas l'un ou l'autre. Au lieu de réinventer la roue du tracking, nous devrions imaginer un monde meilleur sans les innombrables problèmes des publicités ciblées. »
¹ OCDE, Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (Paris, OCDE, 1981).
.svg)
.svg)
