Pan indissociable d’une conformité RGPD réussie, le concept “Accountability" a complètement changé la façon dont la protection des données est appréhendée. Elle ajoute une approche proactive et, selon la CNIL, désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Dans cette optique, la prise en compte du respect de la vie privée dès la conception et l'analyse des risques deviennent des éléments nécessaires et l'épine dorsale d'une bonne conformité au Règlement général sur la protection des données (RGPD). Le cabinet Actecil, expert en protection des données depuis 2007, nous aide à comprendre ces concepts et à les implémenter dès le début.
Rappel du concept de Privacy by Design, de Privacy by Default et leurs enjeux
Privacy By Design
Le Privacy By Design est une approche proactive visant à assurer la protection des données dès la conception d'un projet. Voici quelques points essentiels à comprendre à propos de ce concept :
1. Anticipation proactive : le Privacy By Design incite les entreprises à anticiper et prévenir les problèmes de confidentialité bien avant qu'ils ne se manifestent.
2. Protection des données par défaut : la protection de la vie privée d’un utilisateur doit être assurée sans nécessiter d'action supplémentaire de sa part.
3. Transparence : Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées.
4. Sécurité et exactitude des données : Les données personnelles collectées doivent être précises, à jour, et conservées de manière sécurisée avec des mesures appropriées et adaptées aux risques.
5. Limitation dans la conservation des données : De plus, les données ne devraient être conservées que pendant la durée strictement nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées, et être supprimées ou anonymisées par la suite.
6. Approche holistique : La protection de la vie privée doit être intégrée dans l'ensemble du projet ou du produit, et non pas simplement comme un rajout.
Privacy By Default
Le Privacy By Default garantit quant à lui que, dès l'origine, les paramètres par défaut sont configurés pour offrir le maximum de protection à l'utilisateur, assurant que la collecte de données personnelles soit minimisée.
Voici quelques points essentiels à comprendre concernant ce concept :
1. Protection dès le départ : Lorsqu'un utilisateur accède à un nouveau service ou produit, les paramètres de confidentialité les plus stricts devraient être appliqués par défaut, sans que l'utilisateur n'ait à intervenir.
2. Minimisation des données : Seules les données strictement nécessaires à la réalisation d'une tâche devraient être collectées, traitées et stockées.
3. Consentement éclairé, spécifique et univoque : Un service doit fonder un traitement des données sur la base du consentement par un acte positif, clair et explicite.
4. Accessibilité : Les utilisateurs devraient pouvoir accéder facilement à leurs paramètres de confidentialité, les comprendre et les modifier à tout moment.
Nécessité de réaliser des analyses de risques dans le cadre du RGPD
Lorsqu’une entreprise envisage d'introduire de nouveaux processus ou solutions logicielles, conduire une analyse de risque RGPD est essentiel pour anticiper d'éventuelles violations et garantir une protection optimale des données.
Comment effectuer une analyse de risque RGPD ?
L'analyse de risque est une étape cruciale pour garantir que les entreprises respectent le RGPD. Cette analyse permet d'identifier, d'évaluer et de prioriser les risques liés au traitement des données personnelles à toute l’organisation.
Voici un guide étape par étape pour effectuer une analyse de risque RGPD efficace :
1. Identification des actifs : Commencez par lister tous les actifs : bases de données, réseaux, softwares, processus, systèmes et activités où les données personnelles sont collectées, traitées et stockées. Cela pourrait inclure des bases de données client, des outils marketing, des systèmes de ressources humaines, etc.
2. Évaluation des actifs : Pour chaque traitement identifié, déterminez la nature des actifs et des données collectées. S'agit-il de données sensibles (ex. informations médicales, appartenance syndicale) ? Ces données sont-elles indispensables pour le processus en question ?
3. Identification des risques : Sur la base des données et des actifs évaluées, identifiez les risques potentiels associés à chaque traitement. Cela pourrait inclure des risques de divulgation non autorisée, de perte de données ou de violation de la confidentialité.
4. Évaluation des risques : Pour chaque risque identifié, évaluez sa probabilité d'occurrence et son impact potentiel sur les droits et libertés des personnes concernées. Une violation de données médicales, par exemple, pourrait avoir un impact plus significatif qu'une violation de données de contact.
5. Risque résiduel : Nous devons maintenant déterminer si les actifs identifiés et évalués sont suffisants pour faire face aux risques identifiés et évalués. S'ils sont insuffisants, nous avons un risque résiduel.
6. Détermination des mesures d'atténuation : Identifiez les mesures qui peuvent être mises en place pour minimiser ou éliminer le risque résiduel. Cela pourrait inclure des mesures techniques comme le chiffrage, ou des mesures organisationnelles comme la formation des employés.
7. Documentation : Toute l'analyse, des étapes initiales aux mesures d'atténuation, doit être documentée de manière détaillée. Cela démontre non seulement la conformité, mais sert aussi de référence pour les futures analyses.
8. Révision régulière : L'environnement des données évolue constamment. Une analyse de risque RGPD n'est pas un exercice unique ; elle doit être régulièrement revue et mise à jour pour refléter les nouvelles réalités.
L'intégration systématique de l'analyse de risque de votre structure au début du processus de mise en conformité RGPD et l’analyse d’impact lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Une stratégie organisée et institutionnalisée (directive claire pour toutes les équipes) est donc indispensable pour garantir que l'analyse de risque et d’impact sont systématiquement appliqués dans chaque nouveau projet, toujours aux attentes de la législation.
L'annuaire 
