RGPD Article 25 – Protection des données dès la conception et par défaut

En bref :

• La sécurité des données doit être prise en compte dès le début de la collecte et du traitement des données, et des mesures appropriées doivent être mises en place pour protéger les données.
• Des mesures techniques et organisationnelles doivent être mises en place pour s’assurer que seules les données nécessaires sont collectées et traitées par défaut.
• Un système de certification approuvé peut être utilisé pour prouver qu’on respecte les exigences de protection des données.

La « protection des données by design » signifie que les données sont protégées par défaut, c’est-à-dire sans avoir besoin de prendre des mesures spécifiques. Par exemple, lorsqu’un utilisateur crée un compte sur un site internet, les données qu’il fournit (nom, adresse e-mail, mot de passe) sont automatiquement protégées par des mesures de sécurité telles qu’un chiffrement des données. Ainsi, même si les données sont compromises par une fuite ou une attaque, elles sont protégées et il est difficile pour un tiers de les lire ou de les utiliser à mauvais escient. En mettant en place la protection des données par défaut, on s’assure que les données sont automatiquement protégées sans avoir à y penser et qu’il est difficile pour un tiers de les utiliser à mauvais escient.

Les principales actions à réaliser :

1. Priorité la plus haute : Mettre en place des mesures de protection des données dès la conception du traitement des données. Cela peut inclure la pseudonymisation des données pour réduire les risques pour les individus concernés.
2. Priorité élevée : Mettre en place des mesures techniques et organisationnelles pour s’assurer que seules les données nécessaires sont collectées et traitées par défaut. Cela peut inclure la mise en place de contrôles d’accès pour limiter l’accès aux données à un nombre limité de personnes.
3. Utiliser un système de certification approuvé pour démontrer le respect des exigences de protection des données. Cela peut inclure la certification GDPR (General Data Protection Regulation) ou ISO 27001 (norme internationale pour la gestion de la sécurité de l’information).
4. Mettre en place des procédures de gestion des incidents de sécurité des données pour gérer rapidement et efficacement tout incident de sécurité des données. Cela peut inclure la mise en place d’un plan d’action en cas de fuite de données.

Article 25 du RGPD texte complet

Article 25 – Protection des données dès la conception et protection des données par défaut

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.