(II) Emergence de nouveaux concepts et
de nouveaux outils
(1) Privacy by
Design (PbD)
a) Le concept de PbD
Le PbD signifie qu'il est nécessaire d'intégrer la
protection des données et de la vie privée dès la
conception de nouvelles technologies de l'information et de la communication
(respect de la vie privée dès la conception).
Le risque zéro ne peut exister mais des mesures peuvent et
doivent être prises pour limiter les risques à un niveau
acceptable.
La directive 95/46 n'érige pas le PbD au rang de
principe, néanmoins on peut légitimement penser que le
concept est indirectement consacré dans les lignes de
l'article 17 précisant que : «Les États membres
prévoient que le responsable du traitement doit mettre en oeuvre
les mesures techniques et d'organisation appropriées pour
protéger les données à caractère personnel
contre la destruction accidentelle ou illicite, la perte accidentelle,
l'altération, la diffusion ou l'accès non autorisés,
notamment lorsque le traitement comporte des transmissions de données
dans un réseau, ainsi que contre toute autre forme de traitement
illicite». D'autre part, le considérant 45 complète
l'article 17: «... la protection des droits et libertés des
personnes concernées à l'égard du traitement de
données à caractère personnel exige que des
mesures techniques et d'organisation appropriées soient prises tant au
moment de la conception qu'à celui de la mise en oeuvre du
traitement, en vue d'assurer en particulier la sécurité
et d'empêcher ainsi tout traitement non autorisé».
Le responsable de traitement de DP est directement
concerné mais pas les concepteurs et fabricants de TIC. Paradoxalement,
certains responsables de traitement de DP avouent ne pas trouver d'outils
satisfaisants et correspondants à leurs attentes sur le marché
(voir enquête Titre III section 4).
L'article 14, paragraphe 3 de la directive «Vie
privée et communications électroniques», y fait
référence sans que le concept soit rendu
obligatoire : «Au besoin, des mesures peuvent être
adoptées afin de garantir que les équipements terminaux seront
construits de manière compatible avec le droit des utilisateurs de
protéger et de contrôler l'utilisation de leurs données
à caractère personnel, conformément à la directive
1999/5/CE et à la décision 87/95/CEE du Conseil du 22
décembre 1986 relative à la normalisation dans le domaine des
technologies de l'information et des télécommunications».
Cette disposition n'a jamais été appliquée.
Le droit européen n'impose pas
précisément que la conception des TIC soit conforme au principe
de respect de la vie privée dès la conception.
Dans son avis du 18.03.2010, le commissaire européen
à la protection des DP (CEPD) recommande quatre mesures à la
Commission:
a)Intégrer une disposition générale
sur le respect de la vie privée dès la conception dans
les textes juridiques relatifs à la protection des données.
Cette recommandation ne fait que suivre l'avis n°168 du
groupe de travail article 29 (G29) sur l'avenir de la protection de la vie
privée du 01/12/2009 dans lequel il indiquait que : le principe de PbD
«(...)devrait être contraignant pour les
concepteurs et producteurs de technologies ainsi que pour les responsables du
traitement des données chargés de l'achat et de l'utilisation des
TIC(.... )Les fournisseurs de tels systèmes ou services et les
responsables du traitement des données devraient
démontrer qu'ils ont pris toutes les mesures
requises pour remplir ces obligations».
Un tel principe devrait se garder de prescrire toute solution
technologique.
b) Formuler cette disposition générale sous forme
de dispositions spécifiques lorsque différents
instruments juridiques sont proposés, dans différents
secteurs.
c) Inclure le principe de respect de la vie privée
dès la conception dans le Programme numérique
européen, en tant que principe directeur.
d) Introduire le principe de respect de la vie privée
dès la conception en tant que principe dans d'autres initiatives
communautaires (principalement des initiatives non
législatives), notamment: eSanté, eApprovisionnement,
eSécurité sociale, eLearning, etc...
Le CEPD souligne l'importance d'adopter des mesures de
sécurité appropriées à chaque
étape du traitement des données à caractère
personnel, y compris pendant la phase de destruction des appareils
contenant des données personnelles. Le principe du "privacy by
design" ou, dans ce cas précis, de "security by
design", devrait également être inclus dans la
proposition afin de s'assurer que des garanties en matière de vie
privée et de sécurité soient intégrées par
défaut dans la conception des équipements électriques et
électroniques.
Le CEPD recommande que le
législateur:
-intègre "par défaut" la vie
privée et la protection des données dans la conception des
équipements électriques et électroniques afin de permettre
aux utilisateurs de supprimer - de manière simple et gratuite - les
données personnelles pouvant se trouver dans les appareils dans le cas
où ceux-ci devraient être détruits;
-interdise la commercialisation d'appareils
utilisés qui n'ont pas fait l'objet de mesures de sécurité
appropriées, en conformité avec les normes techniques
les plus avancées, afin d'effacer toutes les données personnelles
qu'ils contiennent.
On pourrait très bien imaginer que les Organisations
Européennes de Normalisation, CEN, CENELEC ou ETSI incluent un principe
de PbD dans les normes européennes. La norme européenne devant
obligatoirement être implémentée au niveau national en
contrepartie du retrait des normes nationales conflictuelles.
La 32 ème conférence des commissaires
à la protection des données et à la vie privée
à Jérusalem (2010), a consacré le principe du PbD
du professeur A.Cavoukian comme principe fondamental de protection.
Les commissaires et les autorités sont invités
à promouvoir le PbD aussi largement que possible à travers la
distribution de matériels d'éducation et des recommandations et
à développer la prise en compte des principes du PbD dans les
politiques de protection des DP et dans les lois nationales.
Les commissaires et autorités de protection des
données font preuve d'un large consensus sur un nécessaire
principe de PbD.
La certification par un tiers indépendant pourrait
être le seul moyen d'évaluer et d'assurer le respect du principe
de PbD dès la conception du système/produit/technologie mais
aussi lors de l'implémentation et dans la mise en oeuvre....à
condition de s'accorder sur un référentiel sur un plan
européen et international.
| 
