Pourquoi vous allez adorer le "Privacy by design"

1995, naissance du concept du « Privacy by design ». L’ordinateur s’installe à peine dans les foyers. La ligne de téléphone fixe demeure le moyen le plus pratique pour communiquer. L’Internet reste une technologie méconnue. Aucun réseau social n’envahit notre quotidien. Pourtant, la protection de la vie privée des individus dans un monde digital est déjà un sujet de recherche universitaire.

25 mai 2018, le RGPD (Le Règlement Général Sur La Protection Des Données) entre en vigueur. Il permet aux citoyens Européens de reprendre le contrôle de leurs données personnelles. L'article 25 responsabilise les entreprises qui doivent, dès la phase de conception d’un produit ou d’un service, penser à la sécurisation des données qui leur sont confiées et à la protection de la vie privée des utilisateurs.

Des recherches sont menées conjointement par l’Autorité de protection des données néerlandaise, l’Organisation néerlandaise pour la recherche scientifique appliquée et Ann Cavoukian, Commissaire à l’Information et la Vie Privée de l’Ontario : elles expliquent l’importance de la vie numérique et de la vie privée.

Résultat de cette étude sur les technologies améliorant la confidentialité, le concept de Privacy by design, 7 lois sur l’identité, s’installe lentement et difficilement dans les entreprises.

Il les oblige à placer l’utilisateur au cœur de leur projet. La “data” devient presque secondaire. Une mutation compliquée pour des entreprises au modèle économique basé sur les données personnelles depuis de nombreuses années.

Découvrez dans cet article, ce qu’est le concept de Privacy by design et son impact au sein des entreprises.

La data : un or numérique à réguler et à protéger

L’article 25 du RGPD intitulé “Protection des données dès la conception et protection des données par défaut” est un élément clé dans la protection des données personnelles.

Le développement du digital semble inéluctable. Les “datas”, moteur de la plupart des entreprises, circulent, s’échangent et se commercialisent très rapidement à l’échelle mondiale. 

Un enjeu économique majeur. Actuellement, les compagnies qui survivent sont celles qui collectent le plus de données. Une explosion de l’Internet qui s’accompagne d’une problématique importante.

Difficile pour ces entreprises, soucieuses de leur croissance, de conserver le contrôle total des informations en leur possession. Complexe d’assurer la protection de la vie privée de leurs utilisateurs alors qu’elles doivent, en plus, mener plusieurs combats de front :

• le retour sur investissement des investisseurs en attente de résultats rapides ;
• une concurrence croissante ;
• une cybercriminalité omniprésente.

Minimisation de la collecte de données, finalité poursuivie définie précisément, réflexion sur des mesures préventives... Le “Privacy by design”, imposé par le RGPD dès la phase de conception d’un produit ou d’un service, protège la vie privée des utilisateurs en cas de fuite des données personnelles.

Le “Privacy by design” : une révolution au sein des entreprises

Des entreprises responsabilisées et proactives

Le RGPD responsabilise les entreprises qui traitent des données personnelles. Elles doivent faire preuve de transparence et assister les utilisateurs pour un meilleur contrôle. 

Depuis le 25 mai 2018, avec le Privacy by design, elles sont contraintes à une démarche proactive, c'est-à-dire inscrire la gestion des données personnelles et la protection de la vie privée des utilisateurs dans leur stratégie, dès la phase de conception développement.

En clair, les problèmes de sécurité ne peuvent plus être corrigés par un simple plug-in une fois le service ou le produit mis en ligne. La protection et la sécurisation des données clients deviennent des enjeux à anticiper. Des mesures préventives et des techniques contre la fuite de données doivent être envisagées, développées et testées à chaque étape de la conception. Et ce pour l’intégralité du cycle de vie du projet numérique (la commercialisation achevée, l’entreprise reste responsable des données clients qu'elle détient).

Le RGPD et le Privacy by design limitent les conséquences d’une fuite de données en obligeant les entreprises à :

• déterminer précisément l’objectif poursuivi ;
• limiter, minimiser la collecte aux seules données réellement nécessaires à l’atteinte de cet objectif ;
• réduire la durée de détention des “datas” ;
• sensibiliser à l’importance des données tous les employés et services impliqués dans la conception du projet. 
  

En cas de contrôle de la CNIL, le responsable du traitement doit présenter les mesures adoptées, démontrer que la préservation des données est au cœur des préoccupations de l’entreprise et de son projet. 

Bref, il doit prouver que l’entreprise est en conformité avec le RGPD.

Le Privacy by design : les 7 lois de l’identité à respecter

Protéger la vie privée, permettre aux utilisateurs de reprendre le contrôle de leurs données… Des objectifs difficiles à intégrer en phase de conception. Les entreprises sont tenues de respecter de multiples impératifs (financiers, concurrentiels, demandes de leur cible…). Une cohabitation difficile, un équilibre subtil à trouver.

D’autant plus que le “Privacy by design” est un concept issu d’un travail universitaire. Sa mise en application concrète n’est pas abordée.

Mais vous ne pouvez pas y échapper… La loi, le RGPD, vous l’impose. 

Ann Cavoukian a développé 7 principes qui s’appliquent à toutes les catégories de données à caractère personnel, à tout type de structure. Une feuille de route qui permet aux entreprises d’adopter une attitude responsable et d’apparaître comme un prestataire, un partenaire digne de confiance.

La protection de la vie privée est ainsi assurée en permanence. Ceci indépendamment d’une législation étatique qui ne peut suivre en “temps réel” les évolutions technologiques et les nouvelles problématiques de sécurité qui en résultent.

La proactivité plutôt que la réactivité, la prévention plutôt que la correction

Anticipez les problèmes de sécurité et leurs répercussions. Définissez en amont les actions à mettre en place pour limiter l’incidence sur la vie privée des utilisateurs.

N’attendez pas une fuite de données et une éventuelle violation de la vie privée de vos utilisateurs pour réagir, pour trouver une solution dans l’urgence.

Une protection des données par défaut et implicite

Très important, si un utilisateur vous confie des données, vous en êtes pleinement responsable. Assurez une protection maximale et implicite, optez pour une démarche responsable. Dans votre projet numérique, développez les techniques (chiffrement, anonymisation…) et adoptez les mesures organisationnelles (accréditation du personnel pour accéder aux données, sensibilisation des employés...) nécessaires pour protéger la vie privée des utilisateurs sans qu’ils aient à en faire la demande.

Aucune intervention, aucun paramétrage pour profiter du niveau de protection le plus élevé possible. Cette protection doit être intégrée nativement et automatiquement à votre produit ou à votre service.

Une protection de la vie privée incluse dans le design de votre offre

Intégrez directement la protection de la vie privée des utilisateurs à votre produit ou à votre service dès sa mise en ligne. Celle-ci ne doit pas être assurée par une option ou un module à rajouter ultérieurement.

Une protection de la vie privée assurée indépendamment de l’utilisation

Offrez une sécurisation des données, une protection de la vie privée maximale, et ce, quels que soient les permissions et les consentements accordés par l’utilisateur.

Il refuse certains traitements demandés ?

Il désactive certains paramétrages ou certaines fonctionnalités ?

Ne le pénalisez pas en “bridant” votre service ou votre produit. Ses choix, ses autorisations ne doivent en aucun cas atteindre la protection de sa vie privée.

Proposez-lui la totalité des fonctionnalités, une expérience utilisateur optimale et agréable.

Une protection et une sécurisation point à point

Rassurez vos utilisateurs, sécurisez le traitement des données tout au long de la prestation, du cycle de vie de votre service. Y compris une fois réalisée, pendant la phase conservation légale jusqu’à leur suppression.

Le traitement des données, une démarche transparente, lisible et visible

Faites preuve de transparence. Expliquez. Documentez votre démarche de traitement de données et vos mesures de protection de la vie privée.

Vos utilisateurs doivent facilement accéder à toutes les informations nécessaires pour répondre aux questions suivantes :

• pourquoi traitez-vous des données personnelles ? Quel est votre objectif ?
• comment sont-elles traitées ? 
• comment exercer leurs droits ?
• combien de temps les données sont-elles conservées ?

La protection de la vie privée des utilisateurs, un leitmotiv

Adoptez une attitude responsable. Placez les intérêts des utilisateurs, la protection de leur vie privée au centre de vos réflexions, au cœur de votre projet. Tous les acteurs (en interne ou en externe) qui participent à la conception de votre produit ou de votre service doivent s’inscrire en une démarche éthique, responsable. Ils doivent ainsi traiter, de fait, les données personnelles très méticuleusement.

Le "Privacy by design" : des avantages certains pour votre entreprise

Le Privacy by design, a priori, une difficulté supplémentaire à gérer. Une de plus !

Et pourtant… une mise en application rigoureuse de ce concept vous procure des avantages certains.

Votre approche vous distingue de la concurrence

La perception de vos clients change, leur expérience utilisateur s’améliore significativement. 

Adieu les innombrables paramétrages pour “tenter” de protéger leurs données personnelles, sans aucune certitude.

Adieu le temps perdu à essayer de comprendre votre utilisation des données personnelles, sans être, au final, totalement rassurés.

Une transparence appréciée. Le souci de la protection de la vie privée disparaît. Vos utilisateurs profitent à 100 % et en toute quiétude de votre produit ou de votre service. 

Vous êtes reconnu comme un prestataire digne de confiance. Une relation forte s’instaure. Une situation idéale pour un business pérenne et pour votre compétitivité.

Vos concurrents non engagés dans une démarche Privacy by design seront irrémédiablement sanctionnés puis abandonnés.

Vous améliorez votre attractivité

Imaginez ! Une faille de sécurité est découverte et rendue publique. Les comptes de vos utilisateurs piratés. Faute d’anticipation, vous agissez dans l’urgence pour trouver une solution. Vous prévenez vos utilisateurs sans pouvoir clarifier la situation. Finalement, sans pouvoir les rassurer.

Perte de confiance de vos clients et de vos prospects : votre activité est en “danger”.

Une société qui anticipe et qui gère sereinement ce type de situation renforce son attractivité.

Vous réduisez les coûts de développement

Réfléchir à la conformité au RGPD uniquement à la fin d’un projet, c’est s’exposer à une remise en cause partielle, voire totale de la conception. 

Intégrer le Privacy by design dès la phase de conception, et le remettre en question avec régularité, favorisent une progression fluide et diminuent la charge de travail. Les ressources humaines mobilisées sont optimisées. Vous évitez des retards de lancement et de coûteux allers-retours.

Vous vous prémunissez de lourdes sanctions

Un non-respect du RGPD est sévèrement réprimandé par :

• des sanctions pénales ; 
• des sanctions administratives (jusqu’à 20 millions d’euros d’amendes ou 4 % du chiffre d’affaires annuel réalisé à l’échelle mondiale) ; 
• des dommages et intérêts en cas de poursuites judiciaires.

Vous en savez désormais un peu plus sur le “Privacy by design”, l’approche que vous devez adopter et ses conséquences sur votre offre de services.

La protection de la vie privée et l’utilisateur doivent dorénavant être au centre de vos préoccupations dès la phase de conception. De nouvelles techniques, une nouvelle organisation à envisager. Et une nouvelle valeur à partager au sein de votre entreprise.