PROTECTION DES DONNEES ET RGPD : Jérôme Deroulez a rédigé un article dans la revue pratique de la prospective et de l'innovation d'octobre 2017 sur la mise en oeuvre du privacy-by-design

Privacy by design: comment mettre en musique norme juridique et exigences technologies avec le RGPD?  

L’entrée en application du nouveau règlement général sur la protection des données personnelles (RGPD http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679) en mai 2018 va entraîner une révolution copernicienne dans la mise en œuvre concrète du droit à la protection des données personnelles.

 

Contenu du principe de privacy by design (RGPD)

 

Au titre de ces innovations, l’article 25 du futur règlement (RGPD) prévoit un principe de protection des données dès la conception d’un traitement (privacy-by-design) : compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

 

Privacy by design et accountability

 

Ainsi, les mécanismes existants de notification préalable ou d’autorisation seront remplacés par une démarche plus globale de responsabilisation ou d’accountability. En conséquence et au vu de l’article 25 du RGPD, les responsables de traitement devront être en mesure de démontrer à postériori toutes les mesures prises pour prévenir les risques de sécurité tout en garantissant simultanément un haut niveau de protection des données personnelles.

 

Privacy by design et mesures techniques dans le RGPD?

 

Les contours de cette obligation dépassent largement la sphère juridique puisqu’ils imposent de mettre en place des mesures techniques et organisationnelles et d’en contrôler le caractère adéquat ou approprié. Ces dispositions marquent ainsi la nécessité et la difficulté pour le juriste en général et l’avocat en particulier de posséder une expertise spécifique de ces technologies pour en apprécier la portée et l’effectivité.