• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

C'est quoi protéger les données personnelles par défaut et à la conception?

Jean-Jacques Quisquater et Charles Cuvelliez

Publié le 02 décembre 2019 à 15:28 - Mis à jour le 02 décembre 2019 à 15:44

Jean-Jacques Quisquater et Charles Cuvelliez.

Jean-Jacques Quisquater et Charles Cuvelliez.

DR

Le Quotidien Numérique

04 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Arrêt des frégates F126 en Allemagne : Thales boit aussi la tasse

  • 2

    Or : après avoir racheté des mines, le Burkina Faso face au défi de leur financement

  • 3

    Après le redéploiement de Claude Fable 5, Anthropic dévoile une échelle de gravité des "jailbreaks"

  • 4

    Stéphane Bern : « J’aimais ma mère comme on aime son bourreau »

  • 5

    Loi d’urgence agricole : « Les agriculteurs ont été trompés »

  • 6

    Marine Le Pen : « Nos adversaires me tueront peut-être, la balle m’attend depuis des années, mais un autre se lèvera avec nos idées »

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. Dans le RGDP, il y a un article mystérieux qui impose de protéger les données personnelles par défaut et à la conception. C'est quoi en pratique ? Prendre un technologie donnée certifiée pour être ensuite tranquille ? C'est un seuil minimum de protection de toutes les données qu'on a ? C'est créer un pool avec toutes les données personnelles de ses clients bien protégées une fois pour toutes où il suffit de puiser dedans ? Rien de toute cela. Une consultation de l'EDPB qui regroupe les autorités de protections des données européennes dont la CNIL met les points sur les i. Par Jean-...

... ques Quisquater, université de Louvain, Charles Cuvelliez, Université de Bruxelles.

Une des dispositions les plus mystérieuses du RGPD, le règlement général à la protection des données, est l'article 25 qui impose la protection des données privées par conception et par défaut

[1]

.
L'EDBP

[2]

qui regroupe les autorités européennes de protection des données vient de proposer des lignes directrices, pour consultation. Elles vont soulager les délégués à la protection des données qui sont souvent démunis par rapport à cette exigence du RGPD, un casse-tête.

L'EDPB ne donne pas des spécifications techniques ou des manières de faire. Elles seraient bien vite dépassées par l'évolution technologique. Mais l'EDPB donne un socle solide de réflexion.

Pas de seuil minimum à atteindre

Premier rappel bienvenu, seul celui qui a le contrôle des données privées (data controller) porte la responsabilité de ces obligations de l'article 25. Le sous-traitant (data processor) ou celui qui a fourni la technologie n'ont aucune responsabilité (sauf un devoir moral comme on verra plus loin). Il n'y a pas de principe ou de seuil minimum à atteindre pour la protection des données dès la conception ou par défaut. Le niveau de la protection et sa complexité dépend de chaque traitement. Il s'agit tout autant d'apporter des solutions techniques adéquates que de mettre en place une bonne organisation, le tout complété par des filets de sécurité. Il ne faut donc pas viser la sophistication pour la sophistication, ni le dernier cri technologique. Dans certains cas, une formation de base du personnel suffira. Les filets de sécurité doivent compléter les mesures de sécurité de première ligne. Et de citer l'entrainement des employés à détecter le phishing, installer un monitoring de sécurité sur les bases de données, rappeler sur les bases de données la période de rétention définie pour les données y stockées, bref une série de mesures qu'on a envie de qualifier de passives qui viennent comme un bonus.

La protection à la conception n'est pas non plus l'affaire d'outils génériques qu'il suffirait d'installer une fois pour toutes. Pour chaque traitement, il faut mettre en place et démontrer l'efficacité des mesures et des filets de sécurité spécifiquement pensés pour lui. L'article 25 n'oblige donc pas le contrôleur à suivre des prescriptions techniques ou des mesures organisationnelles. Cette liberté est plutôt une bonne nouvelle...

Etat de l'art

L'EDPB encourage, pourquoi pas, le contrôleur des données à mettre en place des indicateurs de performance pour mesurer la conformité de la protection des données à la conception. Et de citer des indicateurs comme le nombre de plaintes reçues, le temps moyen pour respecter les droits individuels par rapport à leurs données (droit à les consulter, à les rectifier, à les détruire). Les indicateurs peuvent être qualitatifs. Le RGPD, à l'article 25, fait référence à l'état de l'art. Il oblige le contrôleur à tenir compte de la technologie, en particulier si des récents progrès entraineraient des risques supplémentaires sur les données traitées. L'état de l'art ne s'applique pas qu'à la technologie dit l'EDPB. De fait, une mauvaise implémentation d'une technologie de pointe, sa non-maitrise peut présenter autant de danger qu'une technologie obsolète. L'EDPB reconnait les vertus des normes et des certifications qui jouent un rôle pour indiquer où en est l'état de l'art.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Les coûts d'implémentation de la protection des données à la conception ou par défaut ne peuvent jamais être une excuse pour prendre une autre solution moins « bonne ». D'ailleurs, dépenser le plus possible en technologie de pointe ne mène pas forcément à une meilleure protection, rappelle l'EDPB. Le tout doit être basé sur une analyse de risque. Ne se baser que sur de bonnes pratiques, une base de références et des standards est utile juste pour s'assurer que les mêmes risques sont traités de la même manière et les identifier comme tels. Mais il faudra toujours aller au-delà.

La protection à la conception se fait non seulement au moment d'imaginer les outils qui serviront à traiter les données pour les exploiter mais aussi au moment de les exploiter. Il ne s'agit pas de reposer sur ses lauriers. Cela signifie que le contrôleur doit continuellement réévaluer l'efficacité de ce qu'il a mis en place au début tant que le traitement a lieu

Protection par défaut

La protection par défaut est un peu plus simple à appréhender. C'est la quantité de données qui, par défaut, doit être la plus petite possible. Par défaut aussi, la période de stockage doit être minimale et l'accès aux données n'est donné qu'au plus petit nombre de personnes possible. On minimise tout ce qui est possible. La quantité de données, quand on la minimise, c'est non seulement son volume mais aussi le niveau de détail, les catégories, les types de données... La conséquence de ceci est qu'on ne peut jamais considérer qu'il suffit de définir un ensemble de données, même limité, une fois pour toutes, qui servira à tous les traitements ultérieurs. Non, pour chaque traitement, il faut se poser la question des données qu'il lui faut, pas plus, pas moins.

On peut certifier la protection des données à la conception mais dit l'EDPBP, c'est juste un indice de plus, pas un blanc-seing, pour des autorités de protection des données. Une opération de traitement des données, quand elle est certifiée est aussi un argument commercial, dit l'EDPB.

L'EDPB insiste alors sur le rôle des sous-traitants et ceux qui fournissent la technologie. Il n'ont, on l'a dit, aucune responsabilité pour l'article 25 mais ils ont un rôle crucial, de guidance envers leurs clients, ceux qui contrôlent et possèdent les données pour qui ces technologies sont complexes. On peut se demander avec le recul pourquoi le RGPD n'en a pas mieux tenu compte. Ceux qui fournissent la technologie, dit encore l'EDPB, devraient aussi être plus transparents sur le coût total de leurs solutions, son déploiement, sa maintenance et pas uniquement l'achat. Toutes les entreprises ont déjà expérimenté la besoin de s'adjoindre les services d'un consultant pour déployer un outil IT complexe dans son environnement.

En fait, tout cela, c'est du bon sens adapté à l'état de l'art, et, comme toujours en sécurité, il est parfaitement bon de le rappeler à ceux qui devraient en être déjà bien conscient.

Pour en savoir plus : EDPB Plenary meeting, 12-13 November 2019, Guidelines 4/2019 on Article 25, Data Protection by Design and by Default, Adopted on 13 November 2019

[1]

L'article 25 dit, en effet :

« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.»

[2]

Le European Data Protection Board (EDPD)

Jean-Jacques Quisquater et Charles Cuvelliez

Sur le même sujet

Clôture des Rencontres d'Aix 2026

OPINION. Rencontres économiques d'Aix : « 14 engagements pour une présidentielle des idées et de l’action »

Après trois jours de débats réunissant près de 10 000 participants, 480 intervenants, 55 pays et 90 sessions, la 26e édition des Rencontres Économiques d'Aix-en-Provence se conclut par un appel à l'action.

Idées & Débats
Vianney Devienne

OPINION. Mobilité électrique : « On n’achète pas une borne, on achète un écosystème de services »

Obligées de verdir leurs flottes, les entreprises françaises accélèrent l’électrification. Ce mouvement impose en parallèle le déploiement d’infrastructures de recharge. Or, derrière une borne se cache un écosystème complet de services : supervision, gestion des utilisateurs, optimisation énergétique. Ces paramètres techniques et contractuels ont un impact direct sur le TCO de l’infrastructure.

Idées & Débats
Jean-Roch Varon

OPINION. « La France a gagné la bataille de l'attractivité, celle de la confiance commence maintenant »

La France est paradoxale, elle qui doute souvent de son potentiel tout en restant, pour la septième année consécutive, le premier destinataire des investissements directs étrangers en Europe. Ce paradoxe mérite d’être surmonté : apprenons à reconnaître nos atouts tout en offrant aux investisseurs le climat des affaires qu'ils attendent.

Idées & Débats
Kristin Thorsteinsdottir

OPINION. « L’hôtellerie n’est plus un secteur de curiosité pour les investisseurs : elle est devenue un vrai moteur économique ! »

Les investisseurs institutionnels redécouvrent l’hôtellerie. La résilience post-pandémie, la vigueur du tourisme et des volumes de transactions en hausse transforment la perception du secteur. Cette mutation impose un changement de posture : l’hôtel est d’abord une entreprise opérationnelle, et non la simple addition de murs et d’actifs financiers.

Idées & Débats
Cécile Gaubert

OPINION. « Commerce international et industrie spatiale : la conformité réglementaire, nouvelle frontière compétitive »

L'IPO de SpaceX bouscule l'industrie spatiale européenne. Face à la puissance financière américaine, l'Europe doit maîtriser un cadre réglementaire international complexe.

Idées & Débats
Jonathan Corcos

OPINION. « L’IA ne doit pas être l’angle mort des prochaines élections présidentielles »

Alors que l’IA s’impose comme une technologie structurante pour l’économie et la société, ses implications politiques restent peu abordées. Pourtant, fiscalité, emploi, protection sociale, éducation ou encore souveraineté technologique seront directement impactés par cette révolution.

Idées & Débats
Barbara Moser-Desmarest

OPINION. « Les années 2030, point de bascule de l’accompagnement des personnes âgées »

Valoriser les métiers des Services à la Personne n’est pas un combat sectoriel : c’est une condition pour garantir à chacun le droit de vieillir dignement à domicile

Idées & Débats
Caroline Young et Gilles Effront

OPINION. « À l’ère des drones et de l’IA, l’expérience devient une technologie critique »

Les visiteurs d’Eurosatory ont pu mesurer l’accélération spectaculaire des technologies de défense. Drones autonomes, intelligence artificielle embarquée, robotique terrestre, systèmes de commandement augmentés : jamais l’innovation n’a semblé avancer aussi vite. Dans un contexte de réarmement mondial et de montée des tensions géopolitiques, la technologie apparaît plus que jamais comme la clé de notre souveraineté.

Idées & Débats