par D. Chaum, ces technologies visent à construire des
systèmes prenant en considération la vie privée tout au
long du cycle de vie du système93.
C'est une quinzaine d'années plus tard que la
Commissaire à l'information et à la vie privée de
l'Ontario, A. Cavoukian publie les sept principes fondateurs du privacy by
design94 qui sont les suivants :
· proactif et non réactif, préventif et non
curatif
· le respect de la vie privée comme paramètre
par défaut
· la vie privée intégrée à la
conception
· fonctionnalité complète - gagnant-gagnant
et non perdant-perdant
· protection intégrale tout au long du cycle
· visibilité et transparence - gardez l'esprit
ouvert
· respect de la vie privée de l'utilisateur -
recentrer autour de l'utilisateur
Ainsi, la conformité à ces principes suppose
d'adopter une politique tant technique qu'organisationnelle, de « data
responsable95 ». Cette vision vise un double objectif :
recentrer le traitement des données autour de l'utilisateur et imposer
une prise de conscience par des pratiques concrètes96. Il
faut toutefois interpréter ces principes davantage comme une
propriété plutôt que des instructions à respecter.
Dès 2014, l'ENISA recommandait97 de nuancer l'application de
ces principes : « l'approche holistique est prometteuse, mais elle
n'est pas assortie de mécanismes permettant d'intégrer la vie
privée dans le processus de développement d'un
système98 ».
Ce principe acquiert en 2010 une portée internationale
lors de la 32è conférence internationale des
Commissaires de la protection des données et de la vie
privée99. Les deux premiers points de la résolution
reconnaissent le privacy by design comme une composante essentielle de
la protection de la vie privée et encouragent l'adoption des 7 principes
du privacy by design. Le privacy by design a également
été consacré à l'échelle de l'Union
Européenne à l'article 25 du RGPD. En 2018, le Conseil de
l'Europe a modernisé la Convention n°108 de 1981 qui impose
désormais des obligations complémentaires aux responsables du
traitement et sous-traitants de prendre « des mesures techniques et
organisationnelles tenant compte des implications du droit
93 G. Danezis, J. Domingo-Ferrer, ENISA, «
Privacy and Data protection by design - form policy to engineering»,
décembre 2014, p. 5
94 A. Cavoukian, « Privacy by Design, the 7
foundational principles», 2009
95 P. Pucheral, A. Rallet, F. Rochelandet,
Célia Zolynski, « La Privacy by design : une fausse bonne solution
aux problèmes de protection des données personnelles
soulevés par l'open data et les objets connectés ? »,
Legicom, Victoires open data : une révolution en marche,
Editions, 2016, p.89-99
96 A. Cavoukian, «Operationalizing Privacy by
Design: A Guide to Implementing Strong Privacy Practices », 2012, p.15
97 G. Danezis, J. Domingo-Ferrer, ENISA, Privacy
and Data protection by design, op. cit., p. 2
98 Ibid., p. 6
99 Data Protection and Privacy Commissioners,
«Resolution on Privacy by Design», 2010