Bud P. Bruegger (ULD)
Remerciements : L’auteur tient à remercier Kirsten Bock pour son aide en matière d’interprétation juridique, Harald Zwingelberg pour ses commentaires et sa révision, ainsi que Hans Graux pour sa révision détaillée et ses suggestions. |
Cette partie des lignes directrices a finalement été validée par Hans Graux, conférencier invité sur le droit des TIC et la protection de la vie privée à l’Institut de droit, de technologie et de société de Tilburg (TILT) et à l’AP Hogeschool Antwerpen. Président du Vlaamse Toezichtscommissie (Comité de surveillance flamand), qui supervise le respect de la protection des données au sein des organismes du secteur public flamand.
La présente section tente de fournir aux praticiens une compréhension plus détaillée de la manière de mettre en œuvre concrètement les exigences de l’art. 25 du RGPD sur la protection des données dès la conception et par défaut (DPbDD).
La présente section sur les DPbDD est structurée comme suit :
Une première sous-section examine les lignes directrices sur le sujet publiées par l’EDPB. Elle souligne les différences avec l’approche adoptée ici.
Une deuxième sous-section décrit la portée des obligations découlant de l’art. 25 du RGPD. Surtout, elle clarifie de quelle manière les fournisseurs de technologies sont concernés par celui-ci.
Une troisième sous-section analyse l’art. 25 du RGPD. Puisque l’art. 25(1) donne mandat aux responsables du traitement de mettre en œuvre des mesures à la fois au moment de la détermination des moyens et au moment du traitement lui-même, la signification précise de la détermination des moyens et du traitement lui-même est discutée. Cela repose sur une analyse de ce que le RGPD dit de la structure du traitement. L’analyse de l’art. 25(1) met également l’accent sur la signification de l’efficacité des mesures. L’analyse de l’art. 25(2) explique ce que signifie exactement le terme “défaut” et analyse les obligations du responsable du traitement.
Une quatrième sous-section se concentre sur les processus réels qui mettent en œuvre la protection des données dès la conception. Elle décrit en particulier les processus de mise en œuvre de la DPbDD dans les trois phases principales que sont la détermination des finalités, la détermination des moyens et le traitement lui-même. Ces processus visent une mise en œuvre systématique des principes de protection des données dans chaque tâche de travail de chaque phase. Cela se traduit ensuite par l’identification et la mise en œuvre de mesures techniques et organisationnelles.