Privacy by Design et norme ISO 31700
Le Privacy by Design vise à protéger les données personnelles dès la conception d'un projet, d'un processus ou d'un système de traitement de données. Il a été inventé par Ann Cavoukian Former Information Privacy Commissioner en Ontario au Canada dans les années 90, et repose sur sept principes fondateurs comme la proactivité, la protection des données personnelles par défaut, l'intégration de la protection des données personnelles à la conception, la gestion sécurisée du cycle de vie des informations et la priorité donnée aux intérêts de l'individu. En Europe, le Privacy by Design a été intégré dans le Règlement général sur la protection des données, et il est devenu la norme ISO 31700 pour une application internationale.
C'est quoi une norme ISO ?
Les normes, ce sont des documents officiels produits par des organismes agréés et qui permettent de fixer des règles. Une marche à suivre pour des procédures qui peuvent être relatives à tout type de secteur.
ISO c'est en réalité une organisation internationale de normalisation, un organisme agréé pour créer et publier des normes. Vous avez peut-être déjà entendu parler de la norme ISO 27001, qui est la norme internationale de sécurité des systèmes d'information.
Au global, il existe plus de 22 500 normes ISO.
C’est quoi Le Privacy by Design ?
On peut résumer le privacy by design au fait de protéger les données personnelles dès la conception, au démarrage d'un projet ou lorsqu'on lance un nouveau process dans un organisme, ou encore lorsque l'on crée un nouveau traitement de données personnelles. Contrairement aux idées reçues, le privacy by design n'a pas été inventé par le législateur européen.
Origine du privacy by design : c'est Ann Cavoukian Former Information Privacy Commissioner en Ontario, au Canada, qui a introduit le concept à la fin des années 90. Elle explique “Le Privacy by Design est un concept que j'ai développé dans les années 90 pour faire face aux effets systémiques et croissants des technologies de l'information et de la communication et des systèmes de données en réseau à grande échelle”.
Le concept de Privacy by Design défend l'idée que l'avenir de la vie privée ne peut être assuré uniquement par la conformité ou un cadre réglementaire. Au contraire, l'assurance de la confidentialité doit idéalement devenir le mode de fonctionnement par défaut d'une organisation.
Dans un document intitulé Privacy by Design, elle détermine les sept principes fondateurs.
Privacy By Design : les 7 principes fondateurs
- Mesures proactives et non réactives (préventif et non correctif)
- Intégrer la protection de la vie privée par défaut
- Intégrer a protection de la vie privée dès la conception
- Somme positive, et non somme nulle
- Sécurité de bout en bout - Protection du cycle de vie
- Visibilité et transparence - Restez ouvert
- Rester User Centric - Respect de la vie privée de l’utilisateur
En bref, il est nécessaire d'implémenter des mesures proactives et non réactives. Il faut aussi protéger la vie privée par défaut, c'est-à-dire que l'utilisateur ne doit rien faire pour que ses données personnelles soient respectées. Il faut intégrer la protection des données personnelles au design de l'application de l'outil. Allier sécurité et vie privée sans perdre l'un des deux. Assurer la protection de la vie privée. Il faudra aussi donner à l'utilisateur ou la personne concernée de la visibilité sur le traitement de ses données personnelles et enfin maintenir les intérêts de l'individu au premier plan.
Pourquoi faire du privacy by design une norme ISO ?
Etant donné qu'il y a déjà le RGPD, pourquoi faire du privacy by design une norme ISO ? D'abord car la norme ISO est applicable à l'international alors que le RGPD est “délimité” à l’Union Européenne. De plus, la norme ISO (à l'inverse des Règlements Européens) n’est pas une obligation.
La norme ISO 31700 (privacy by design) sera davantage un argument qui facilite les ventes. La norme ISO privacy by design ne sera pas une norme de conformité (en tout cas au départ).
Cela veut dire que les entreprises ne pourront pas obtenir de certification Privacy by design à proprement parler, même si cela ne saurait logiquement tarder. En revanche, comme ses cousines (et notamment la norme ISO 27001 relative à la sécurité des SI), la norme ISO 31700 “permet aux organismes qui l’adoptent de monter en maturité et de démontrer une démarche active de protection des données personnelles.”
Les exigences de l’ISO 31700 - Privacy by design
L’ISO 31700 selon les informations que nous détenons actuellement, serait composée de 30 exigences, avec notamment :
- l’attribution de rôles et d’autorités pertinents,
- la fourniture d’informations sur la confidentialité aux consommateurs,
- la réalisation d’évaluations des risques pour la vie privée,
- l’établissement et la documentation des exigences pour les contrôles de confidentialité,
- la conception de contrôles de confidentialité,
- la gestion des données du cycle de vie
- et la préparation et la gestion d’une violation de données.
Surtout, les entreprises européennes qui appliquent déjà le Privacy by design pourront d’ores et déjà se targuer de respecter la norme ISO.
Ces exigences peuvent être difficiles à mettre en œuvre si vous n'avez pas de moyens humains en interne. Pour cette raison, vous pouvez faire appel à un prestataire comme Blockproof qui se chargera d'établir un devis personnalisé en fonction de vos besoins en termes de privacy by design.
Quels sont les avantages du privacy by design et de la norme ISO 31700 ?
- instaurer la confiance entre les acteurs de l'économie numérique,
- optimiser les processus
- minimiser les collectes de données personnelles inutiles
- valoriser le respect de la vie privée comme argument commercial
RGPD et Privacy by design
Un article datant de 2012 qualifiait le privacy by design d'une tendance appelée à se généraliser dans la mesure où elle correspondait à l'esprit du projet de réglementation européen visant à réformer la directive relative à la protection des données à caractère personnel.
L'auteur y parlait d'une RGPD encore au stade de projet à l'époque. Il ajoutait que la Commission européenne prévoyait ainsi de rendre obligatoire l'approche de protection des données personnelles dès la conception.
Finalement, le privacy by design est davantage un principe, une philosophie plutôt qu'une règle à proprement parler.