Données personnelles : les enjeux du Privacy by Design

Big Data contre Protection des données personnelles, qui aura le dernier mot ?

Dans ce match aux enjeux technologiques, économiques et sociétaux, le principe de Privacy by Design vient jouer un rôle d'arbitre en obligeant les entreprises (et les États) à prendre en compte les problématiques de protection des informations à caractère personnel dès la conception d'un projet impliquant le traitement de données.

La réponse aux excès possibles du Big Data

Le Big Data — le fait de pouvoir collecter et analyser des données à grande échelle — est une source de richesse pour les entreprises. Le géant californien Google en est la plus belle démonstration : l'entreprise fait entièrement reposer son immense réussite économique sur la collecte, l'analyse et la monétisation de nos données personnelles auprès d'annonceurs désireux de mieux « connaître » leurs consommateurs.

Il existe cependant des risques de fuite massive des données personnelles, notamment à cause de la collecte automatisée de celles-ci, auxquels le principe de Privacy by Design permet de répondre.

Le Privacy by Design figure au cœur du Règlement Général sur la Protection des Données (RGPD), entré en vigueur en 2018 pour harmoniser les législations nationales sur la protection de la vie privée. L'objectif est de garantir à chaque citoyen que l'utilisation des informations qu'il divulgue sur le web sera réalisée dans un cadre législatif strict et respectueux de sa vie privée.

Qu'est-ce qu'une donnée personnelle ? On parle de collecte, de stockage ou de traitement des données personnelles des citoyens européens dès lors qu’il est possible d’identifier directement ou indirectement le citoyen par le biais de ces données.

Responsabilisation des entreprises

L'objectif du Privacy by Design est de restaurer la confiance entre les consommateurs et les entreprises, tous acteurs de l'économie numérique. Dans chaque organisation, la nomination d'un Data Protection Officer (DPO), garant de la bonne utilisation des données, est fortement encouragée.

Il a pour fonction de veiller à ce que les données collectées sur les clients, prospects, fournisseurs, mais aussi sur les salariés de l'entreprise, soient traitées en accord avec la législation du pays dans lequel ils se trouvent.

Dès la phase de conception d'un projet (parfois appelée PoC pour Proof of Concept), la finalité de l'utilisation des données, leur durée d'utilisation ainsi que la manière dont celles-ci sont collectées (un clic, un champ à remplir, une case à cocher...) doivent être prises en compte.

En cas d'audit demandé par une instance juridique ou une association de consommateurs, le DPO doit engager la responsabilité de l'entreprise en démontrant les mesures prises pour respecter la loi.

Exemple d'application du Privacy By Design : le client ne doit plus décocher de case dans un formulaire pour ne pas recevoir d’e-mails de la part d’une entreprise (comme une newsletter hebdomadaire, par exemple). L’entreprise ne peut plus par défaut exploiter ces données comme elle le veut.

Les avantages du Privacy by Design

Si une démarche Privacy by Design implique des contraintes légales et techniques et rallonge les délais de mise en œuvre d'un projet, plusieurs avantages sont cependant à signaler.

La réduction des risques juridiques liés à un manquement à la réglementation est la principale motivation à suivre les principes du Privacy by Design.

De plus, une prise en compte trop tardive de la protection des données peut entraîner des dépenses supplémentaires de mise en conformité en fin de projet, voire une remise en cause de celui-ci. Ce point peut être considéré par l'entreprise comme un avantage compétitif par rapport à des concurrents qui n'auraient pas pris en compte le respect des données personnelles.

Enfin, l'avantage d'une démarche Privacy by Design réside dans l'obtention d'un consentement plus important de la part des consommateurs. La transparence affichée et réelle contribue à créer un climat de confiance qui peut les inciter à partager davantage d'informations personnelles de manière consentie.

Comment appliquer le Privacy by Design ?

Mettre en place une démarche de Privacy by Design est un véritable challenge pour une entreprise. Techniquement, il faut être équipé pour collecter et analyser les données, mais aussi être en mesure de justifier de leur bonne utilisation.

Le moins de données possible

La meilleure façon de limiter les risques de mauvaise utilisation des données est d'en limiter la collecte. Une conception minimaliste de la data est une excellente manière d'entrevoir chaque début de projet. De même, grâce aux "Privacy Enhancing Technologies", les utilisateurs peuvent désormais choisir eux-mêmes les données qu'ils transmettent à une entreprise et même les anonymiser s'ils le souhaitent.

La pseudonymisation des données

Cette technique consiste à traiter les données personnelles de manière à ce qu'on ne puisse plus attribuer les données relatives à une personne physique sans avoir recours à des informations supplémentaires. Dans un fichier client, on remplace par exemple le champ « Nom, Prénom » par un identifiant unique à dix chiffres.

À l'inverse de l'anonymisation (qui consiste à effacer pour toujours des informations identifiantes), la pseudonymisation est un processus réversible.

Responsabilité à tous les échelons

Chaque étape du processus de traitement des données doit respecter le principe de Privacy by Design. Au-delà du rôle du DPO (cf ci-dessus), il est crucial que les équipes IT, mais aussi les équipes métiers soient sensibilisées aux problématiques de traitement des données au quotidien pour éviter toute négligence qui pourrait porter préjudice à l'entreprise.