Bienvenue sur JurisPedia! Vous êtes invités à créer un compte et à contribuer après avoir confirmé votre adresse de courriel. Dès lors, vous pouvez ajouter un article en commençant par lui donner un titre en renseignant ce champ:

Les lecteurs et contributeurs ne doivent pas oublier de consulter les avertissements juridiques. Il y a actuellement 3 533 articles en construction permanente...

Respect de la vie privée dès la conception (fr)

Un article de JurisPedia, le droit partagé.
Version du 3 juillet 2011 à 23:26 par Pauline M (discuter | contributions)

(diff) ← Version précédente | voir la version actuelle (diff) | Version suivante → (diff)
Aller à : Navigation, Rechercher
France > Droit des médias > Droit des médias en général
Fr flag.png

La protection intégrée de la vie privée ou le respect de la vie privée dès la conception, en anglais «Privacy by Design», est une idée développée durant les années 1990 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario, au Canada, Ann Cavoukian, en réponse au développement des technologies de l’information et des communications, et à ses effets sur la protection des données personnelles.

Il s’agit d’intégrer le respect de la vie privée directement dans la conception et le fonctionnement des systèmes et réseaux informatiques, ainsi dans l’élaboration de pratiques responsables. En outre, bénéficiant du soutien des utilisateurs, la prise en compte de la vie privée peut devenir un avantage concurrentiel pour les entreprises.

En effet, le concept des «technologies renforçant la protection de la vie privée» est désormais pleinement accepté. D’une certaine façon, il est considéré comme une marque de commerce forte, et différentes tentatives ont eu lieu pour bénéficier de sa réputation et y inclure d’autres technologies, qui ne sont pas nécessairement des technologies «renforçant la protection de la vie privée» mais des technologies «imposant la vie privée» ou «permettant la vie privée».

Au cours des dernières années, la communauté des défenseurs de la vie privée s’est saisie de cette question. Le principe de la prise en compte de la vie privée dès la conception s’est même vu consacré par l’adoption d’une résolution portant sur la prise en compte de la vie privée dès la conception.

Le principe de la prise en compte de la vie privée dès la conception

Les domaines d’application du « privacy by design »

La protection intégrée de la vie privée s’applique aux nouvelles technologies, et notamment aux systèmes informatiques et aux infrastructures des réseaux.

Ses principes peuvent s’appliquer à tous les types de renseignements personnels, mais ils devraient l’être avec une rigueur particulière aux données délicates telles que les renseignements médicaux et financiers. Plus les données sont délicates, plus les mesures de protection de la vie privée tendent à être strictes.

Exemple : aux réseaux sociaux, la santé en ligne, les systèmes de transport intelligents,…

Les sept principes fondamentaux

Fichier:Home-main.png

source: [1]: Commissaire à l’information et à la protection de la vie privée de l’Ontario.

Les principes fondamentaux de la « protection intégrée de la vie privée » décrivent les mesures proactives nécessaires pour faire de la protection de la vie privée le mode implicite de fonctionnement de toutes les organisations.

Prendre des mesures proactives et non réactives

La prise en compte de la vie privée dès la conception consiste à prévoir et à prévenir les incidents d’atteinte à la vie privée avant qu’ils ne se produisent. En effet, aucune solution pour résoudre les cas d’atteinte à la vie privée qui se sont déjà produits n’est proposée. Il s’agit de l’application du proverbe : « mieux vaut prévenir que guérir ».

Assurer la protection implicite de la vie privée

Il s’agit de veiller à ce que les données à caractère personnel soient protégées de façon automatique. Ainsi, les nouvelles technologies doivent être paramétrées « par défaut » de façon à assurer un niveau de protection des données personnelles maximum. L’utilisateur lui-même n’a pas à définir lui-même les conditions d’utilisation de ses données.

Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques

La protection intégrée de la vie privée, comme son nom le suggère, est intégrée dans la conception et l’architecture des systèmes informatiques et des pratiques des organismes; elle n’y est pas greffée a posteriori. La protection de la vie privée devient donc un élément essentiel des fonctionnalités de base. Elle fait partie intégrante du système, sans porter atteinte à ses fonctions.

Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle

La prise en compte de la vie privée ne doit pas empêcher la mise en oeuvre d’autres fonctionnalités, mais doit être un avantage concurrentiel. Par exemple : la prise en compte de la vie privée ne doit pas empêcher un haut niveau de sécurité. Il est possible de réaliser deux plusieurs objectifs à la fois sans les compromettre.

Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements

La protection intégrée de la vie privée, lorsqu’elle est intégrée dans le système avant que l’on ne commence à recueillir les renseignements qu’il contiendra, persiste de façon sécurisée pendant toute la période de conservation de ces renseignements; ainsi, des mesures de sécurité essentielles à la protection de la vie privée sont mises en oeuvre du début jusqu’à la fin. Cela permet d’assurer la conservation sécurisée des données, puis leur destruction sécurisée à la fin de leur période de conservation. Ainsi, la protection intégrée de la vie privée assure une gestion intégrale, sécurisée et de bout en bout des renseignements pendant toute leur période de conservation.

Assurer la visibilité et la transparence

Grâce à la protection intégrée de la vie privée, tous les intervenants seront assurés que sans égard aux pratiques ou aux technologies employées, le système fonctionne conformément aux promesses et aux objectifs établis, sous réserve d’une vérification indépendante. Les éléments et le fonctionnement du système demeurent visibles et transparents, tant pour les utilisateurs que pour les fournisseurs. La vérification permet d’établir un climat de confiance.

Respect des utilisateurs

Les paramétrages par défaut doivent assurer un haut niveau de protection, importance de l’information des personnes concernées


La prise en compte de la vie privée dès la conception en Europe

Le G29

La directive 95/46/CE entrée en vigueur le 13 décembre 1995 contient déjà plusieurs dispositions qui prévoient expressément que les responsables du traitement des données doivent mettre en oeuvre des garanties technologiques lors de la conception et l’utilisation des TIC. Notamment, le considérant 46 dispose que des mesures techniques permettant de garantir la vie privée doivent être prises en compte tant au moment de la conception du système de traitement qu’à celui de la mise en oeuvre du traitement lui-même:

"considérant que la protection des droits et libertés des personnes concernées à l'égard du traitement de données à caractère personnel exige que des mesures techniques et d'organisation appropriées soient prises tant au moment de la conception qu'à celui de la mise en oeuvre du traitement, en vue d'assurer en particulier la sécurité et d'empêcher ainsi tout traitement non autorisé; qu'il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l'état de l'art et du coût de leur mise en oeuvre au regard des risques présentés par les traitements et de la nature des données à protéger".

L’exigence de « mesures techniques et d’organisation appropriées est aussi reprise dans l’article 17 de la directive.

Plusieurs années plus tard, ces principes sont toujours d'actualité, cependant, l'évolution technologique rapide et la mondialisation modifient en profondeur la société et imposent un renforcement de la protection des données à caractère personnel.

C’est pourquoi, le G29, le groupe européen de protection des données personnelles institué par la directive précitée, a émis des recommandations: _ les nouvelles technologies doivent être conçues avec un paramétrage par défaut favorable au respect de la vie privée; _ la nouvelle directive ou le nouveau règlement doit prévoir un principe plus large et cohérent de prise en compte du respect de la vie privée dès la conception _ le principe "privacy by design" doit devenir contraignant

Exemples donnés par le G29 afin de démontrer l’utilité que présenterait la prise en compte de la vie privée dès la conception : _ les identificateurs biométriques devraient être conservés dans des dispositifs contrôlés par les personnes concernées (c’est-à-dire via des cartes à puces) plutôt que dans des bases de données externes; _ les systèmes de vidéosurveillance des transports publics devraient être conçus de sorte que le visage des personnes enregistrées ne soit pas reconnaissable ou que d’autres mesures soient prises pour réduire les risques pour les personnes concernées. _ les noms des patients et d’autres identificateurs personnels conservés dans les systèmes d’information des hôpitaux devraient être séparés des données relatives à l’état de santé et au traitement médical. _ si nécessaire, une fonctionnalité devrait être intégrée pour permettre à la personne concernée d’annuler son consentement, ce qui aurait pour effet de supprimer ses données de tous les serveurs concernés.

Pour le G29, la prise en compte de la vie privée dès la conception aura plusieurs conséquences : la collecte des données sera limitée, les personnes concernées auront des pouvoirs de contrôle plus importants, les personnes concernées devront bénéficier d’un bon niveau d’information, les données collectées devront bénéficier d’un haut niveau de sécurité, ….

Par ailleurs, dans son programme de travail 2010/2011 adopté le 15 février 2010, le G29 a rappelé que le principe du "privacy by design» étant une «composante essentielle de la protection de la vie privée", il était disposé à conseiller la Commission européenne notamment sur les questions liées à cette dès la conception.


Le contrôleur européen

Le 22 mars 2010 à Bruxelles, le Contrôleur européen de la protection des données (CEPD) a adopté un avis intitulé "Promouvoir la confiance dans la société de l'information en encourageant la protection des données et la vie privée", le 22 mars 2010. Cet avis examine les mesures que l'Union européenne pourrait adopter ou promouvoir afin de garantir le droit à la vie privée et à la protection des données lors de l'utilisation des technologies de l'information et de la communication (TIC).

Il souligne que la confiance est une question essentielle dans l'émergence et le succès du déploiement des nouvelles technologies. Certes les nouvelles technologies présentent des avantages considérables pour la société, toutefois, il est indispensable de trouver un équilibre entre le progrès et les droits fondamentaux des individus à la vie privée et à la protection des données afin de garantir la confiance des utilisateurs dans la société de l'information. Nul n'est besoin de condamner les nouvelles technologies, il faut seulement veiller à la manière dont on s'en sert.

Le cadre réglementaire existant doit donc être renforcé, notamment en prenant compte de la vie privée dès la conception.

Selon Peter Hustinx, CEPD: Les avantages potentiels des technologies de l’information et des communications (TIC) ne peuvent être appréciés dans la pratique que s'ils sont capables de susciter la confiance. Cette confiance ne sera obtenue que si les TIC sont fiables, sûrs, sous le contrôle des individus et si la protection de leurs données personnelles et la confidentialité est garantie. Afin de minimiser les risques et de s'assurer de la volonté des utilisateurs de recourir aux TIC, il est essentiel d'intégrer, dans la pratique, la protection des données et la confidentialité dès la création de nouvelles technologies. Cette nécessité d'une approche basée sur le "Privacy by design" doit être reflétée dans le cadre juridique européen de la protection des données à des niveaux différents de la législation et de l'élaboration des politiques.

En outre, le CEPD a proposé à la Commission européenne de suivre un plan d'action qui recommande notamment: - l'instauration le principe "Privacy by design" - sa mise en œuvre plus particulièrement dans des secteurs spécifiques (RFID, Réseaux sociaux, publicité ciblée.

L'avenir de la vie privée dès la conception

Le 29 octobre 2009, une résolution portant sur la prise en compte de la vie privée dès sa conception a été adoptée lors de la Session fermée de la conférence internationale soutenue par les Commissaires du Canada, de Berlin, de République Tchèque, d’Estonie, et de Nouvelle Zélande. Cette résolution ne fait que reprendre certains grands principes de la protection des données.

Liens externes

[2]: site Internet de la CNIL

[3]: site internet de la Commissaire à l’information et à la protection de la vie privée

[4]: site "Privacy by design, ça veut dire quoi?"

[5]: CEPD - Le gardien européen de la protection des données personnelles

Références

[6]Commissaire à l’information et à la protection de la vie privée de l’Ontario.

[7]« Privacy Protection Makes Good Business Sense » publié par le Commissariat à la Protection des données d’Ontario en Octobre 1995

[8]« Privacy: The Key to Electronic Commerce » publié par le Commissariat à la Protection des données d’Ontario en avril 1998

[9]: Avis 2/2008 sur la révision de la directive 2002/58/CE concernant la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques»)

[10]: Avis du CEPD sur la vie privée à l'ère numérique: "Privacy by design" comme outil essentiel pour assurer la confiance des citoyens dans les TIC