à la protection des données à
caractère personnel à tous les stades du traitement des
données1°° ».
La protection des données dès la conception
consacrée à l'article 25 du RGPD se conçoit donc de pair
avec le nouveau principe de responsabilisation du responsable du traitement
introduit dans le RGPD, également appelé «
accountability ». Ce principe impose une proportionnalité
entre l'intérêt du traitement et la protection des données
personnelles. Il requiert aussi la mise en oeuvre d'une analyse de risque, qui
privilégie une approche pragmatique et rejette une approche englobante.
Le risque généré par le traitement des données
à caractère personnel sera donc vecteur du niveau de
conformité du responsable du traitement101. Ce principe
permet enfin d'intégrer tous les stades du traitement des données
à caractère personnel, de la création des outils de
collecte, au traitement ainsi qu'aux méthodes d'exploitations des
données. C'est notamment pour cette raison que les autorités de
régulation encouragent ce principe lors du développement de
nouveaux usages102. Néanmoins, les obligations du RGPD
restent imprécises quant aux obligations à
respecter103.
Ainsi, le privacy by design est un concept
polymorphe. Néanmoins il ne doit ni être interprété
comme un principe général, ni limité à l'usage des
technologies améliorant la protection de la vie privée, mais
comme un processus impliquant des composants techniques et
organisationnels variés, qui implémentent les principes de vie
privée et de protection des données104. Ce
concept impose notamment de prendre en compte la protection des données
personnelles tout au long du cycle de vie du projet, apprécier le
degré de rigueur d'application du principe selon les risques
générés par le traitement, mettre en oeuvre des mesures
appropriées et effectives, et intégrer les garanties
définies au traitement105.
o Le privacy by default
L'article 25 du RGPD dispose dans son deuxième
paragraphe de l'obligation du responsable du traitement de mettre en place une
protection des données par défaut :
« Le responsable du traitement met en oeuvre les
mesures techniques et organisationnelles appropriées pour garantir que,
par défaut, seules les données à caractère
personnel qui sont nécessaires au regard de chaque finalité
spécifique du traitement sont traitées. Cela s'applique à
la quantité de données à caractère
personnel
100 Conseil de l'Europe, Convention 108 +, «
Convention pour la protection des personnes à l'égard du
traitement des données à caractère personnel »,
mai 2018
101 Ibid
102 P. Pucheral, A. Rallet, F. Rochelandet, Célia
Zolynski, op. cit. p. 89-99
103 G. Rostana, A. Bekhardi, B. Yannou, op. cit., p.
2
104 G. D'acquisto, J. Domingo-ferrer, ENISA, « Privacy by
design in big data», décembre 2015, p.21
105 EDPS, «Avis préliminaire sur le respect de la
vie privée dès la conception», avis 5/2018, 31 mai 2018, p.
7
