Une des dispositions les plus mystérieuses du RGPD, le règlement général à la protection des données, est l'article 25 qui impose la protection des données privées par conception et par défaut[1].

L'EDBP[2] qui regroupe les autorités européennes de protection des données vient de proposer des lignes directrices, pour consultation. Elles vont soulager les délégués à la protection des données qui sont souvent démunis par rapport à cette exigence du RGPD, un casse-tête.

L'EDPB ne donne pas des spécifications techniques ou des manières de faire. Elles seraient bien vite dépassées par l'évolution technologique. Mais l'EDPB donne un socle solide de réflexion.

Pas de seuil minimum à atteindre

Premier rappel bienvenu, seul celui qui a le contrôle des données privées (data controller) porte la responsabilité de ces obligations de l'article 25. Le sous-traitant (data processor) ou celui qui a fourni la technologie n'ont aucune responsabilité (sauf un devoir moral comme on verra plus loin). Il n'y a pas de principe ou de seuil minimum à atteindre pour la protection des données dès la conception ou par défaut. Le niveau de la protection et sa complexité dépend de chaque traitement. Il s'agit tout autant d'apporter des solutions techniques adéquates que de mettre en place une bonne organisation, le tout complété par des filets de sécurité. Il ne faut donc pas viser la sophistication pour la sophistication, ni le dernier cri technologique. Dans certains cas, une formation de base du personnel suffira. Les filets de sécurité doivent compléter les mesures de sécurité de première ligne. Et de citer l'entrainement des employés à détecter le phishing, installer un monitoring de sécurité sur les bases de données, rappeler sur les bases de données la période de rétention définie pour les données y stockées, bref une série de mesures qu'on a envie de qualifier de passives qui viennent comme un bonus.

La protection à la conception n'est pas non plus l'affaire d'outils génériques qu'il suffirait d'installer une fois pour toutes. Pour chaque traitement, il faut mettre en place et démontrer l'efficacité des mesures et des filets de sécurité spécifiquement pensés pour lui. L'article 25 n'oblige donc pas le contrôleur à suivre des prescriptions techniques ou des mesures organisationnelles. Cette liberté est plutôt une bonne nouvelle...

Etat de l'art

L'EDPB encourage, pourquoi pas, le contrôleur des données à mettre en place des indicateurs de performance pour mesurer la conformité de la protection des données à la conception. Et de citer des indicateurs comme le nombre de plaintes reçues, le temps moyen pour respecter les droits individuels par rapport à leurs données (droit à les consulter, à les rectifier, à les détruire). Les indicateurs peuvent être qualitatifs. Le RGPD, à l'article 25, fait référence à l'état de l'art. Il oblige le contrôleur à tenir compte de la technologie, en particulier si des récents progrès entraineraient des risques supplémentaires sur les données traitées. L'état de l'art ne s'applique pas qu'à la technologie dit l'EDPB. De fait, une mauvaise implémentation d'une technologie de pointe, sa non-maitrise peut présenter autant de danger qu'une technologie obsolète. L'EDPB reconnait les vertus des normes et des certifications qui jouent un rôle pour indiquer où en est l'état de l'art.

Les coûts d'implémentation de la protection des données à la conception ou par défaut ne peuvent jamais être une excuse pour prendre une autre solution moins « bonne ». D'ailleurs, dépenser le plus possible en technologie de pointe ne mène pas forcément à une meilleure protection, rappelle l'EDPB. Le tout doit être basé sur une analyse de risque. Ne se baser que sur de bonnes pratiques, une base de références et des standards est utile juste pour s'assurer que les mêmes risques sont traités de la même manière et les identifier comme tels. Mais il faudra toujours aller au-delà.

La protection à la conception se fait non seulement au moment d'imaginer les outils qui serviront à traiter les données pour les exploiter mais aussi au moment de les exploiter. Il ne s'agit pas de reposer sur ses lauriers. Cela signifie que le contrôleur doit continuellement réévaluer l'efficacité de ce qu'il a mis en place au début tant que le traitement a lieu

Protection par défaut

La protection par défaut est un peu plus simple à appréhender. C'est la quantité de données qui, par défaut, doit être la plus petite possible. Par défaut aussi, la période de stockage doit être minimale et l'accès aux données n'est donné qu'au plus petit nombre de personnes possible. On minimise tout ce qui est possible. La quantité de données, quand on la minimise, c'est non seulement son volume mais aussi le niveau de détail, les catégories, les types de données... La conséquence de ceci est qu'on ne peut jamais considérer qu'il suffit de définir un ensemble de données, même limité, une fois pour toutes, qui servira à tous les traitements ultérieurs. Non, pour chaque traitement, il faut se poser la question des données qu'il lui faut, pas plus, pas moins.

On peut certifier la protection des données à la conception mais dit l'EDPBP, c'est juste un indice de plus, pas un blanc-seing, pour des autorités de protection des données. Une opération de traitement des données, quand elle est certifiée est aussi un argument commercial, dit l'EDPB.

L'EDPB insiste alors sur le rôle des sous-traitants et ceux qui fournissent la technologie. Il n'ont, on l'a dit, aucune responsabilité pour l'article 25 mais ils ont un rôle crucial, de guidance envers leurs clients, ceux qui contrôlent et possèdent les données pour qui ces technologies sont complexes. On peut se demander avec le recul pourquoi le RGPD n'en a pas mieux tenu compte. Ceux qui fournissent la technologie, dit encore l'EDPB, devraient aussi être plus transparents sur le coût total de leurs solutions, son déploiement, sa maintenance et pas uniquement l'achat. Toutes les entreprises ont déjà expérimenté la besoin de s'adjoindre les services d'un consultant pour déployer un outil IT complexe dans son environnement.

En fait, tout cela, c'est du bon sens adapté à l'état de l'art, et, comme toujours en sécurité, il est parfaitement bon de le rappeler à ceux qui devraient en être déjà bien conscient.

Pour en savoir plus : EDPB Plenary meeting, 12-13 November 2019, Guidelines 4/2019 on Article 25, Data Protection by Design and by Default, Adopted on 13 November 2019

[1] L'article 25 dit, en effet :

« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.»

[2] Le European Data Protection Board (EDPD)