L’évolution des cyberattaques d’un coté, des outils de protection des systèmes d’information et des environnements règlementaires de l’autre, imposent une réflexion sécuritaire dès l’initiative d’un projet. C’est le ‘privacy by design’, indissociable du PIA (Privacy Impact Assessment).
Intervenir le plus tôt possible afin de préserver la sécurité des données. Telle pourrait être la définition simple du ‘privacy by design’, une approche de la cybersécurité qui, avec l’évolution des règles de sécurité au niveau européen, pourrait rapidement prendre une ampleur considérable… s’il ne manquait des méthodologies abordables par l’ensemble des organisations !
Des principes pour une Directive
Concrètement, les entreprises sont soumises à deux principes :
- La conformité de la protection de la vie privée, qui repose sur des exigences légales ;
- La sécurité, qui repose sur la gestion des risques.
Pour leur application, elles sont soumises à la Directive 95/46/CE. Il en résulte la nécessité pour les organisations de :
- Mettre en oeuvre et maintenir un niveau de sécurité approprié, c’est à dire qui varie selon la nature et le traitement des données à protéger (article 17) ;
- Réaliser en amont d’un traitement de la donnée une étude des risques si celui-ci expose la vie privée des personnes concernées (article 33) ;
- Préserver la sécurité des données, et pour cela mettre en œuvre toutes précautions utiles (article 34).
Cela se traduit par la réalisation d’études d’impact sur la vie privée, également appelées PIA (Privacy Impact Assessment). Ce dernier se compose d’une réflexion sur le traitement des données à caractère personnel, l’appréciation des risques sur le vie privée, et d’une description du traitement.
Privacy by design
Le ‘privacy by design’ va consister à déployer le PIA le plus tôt possible, c’est à dire dès la conception d’un projet, afin de s’assurer que tout est mis en œuvre dès son origine pour assurer le respect des données personnelles, minimiser le risque pour l’organisation de ne pas respecter la réglementation et de voir leur réputation ternie par une action de la CNIL.
Cette dernière préconise une démarche méthodologique qui repose sur les exigences évoquées ci-dessus et se décline en 4 étapes :
- Une étude du contexte et des enjeux ;
- Une étude des mesures existantes ou prévues ;
- Une étude des risques liés à la sécurité des données, leur impact sur la vie privée, et leur traitement proportionné ;
- Une phase de validation, des exigences légales et du traitement des risques, qui doit faire l’objet d’une itération en cas de non respect.
Au moment où l’Europe s’est dotée d’une législation commune sur la protection des données personnelles et la création du poste de PDO (lire nos articles), mais également d’un lourd arsenal répressif pour les organisations qui ne respecteraient pas ces règles, il est essentiel de considérer le PIA et le ‘privacy by design’, même s’il règne un certain flou autour de ce dernier.
Source : Rapport d’activité 2015 de la CNIL Image d’entête 68298785 @ iStock jack191