Efficacité des mesures
Home » RGPD » Concepts principaux » Protection des données dès la conception et par défaut » Analyse de l’article 25. La protection des données dès la conception » Efficacité des mesures

Nous analysons ci-après l’exigence de l’art. 25(1) du RGPD selon laquelle les mesures doivent être mises en œuvre “de manière effective“. Elle le fait dans le contexte des autres formulations de l’art. 25(1) du RGPD.

Contrairement à l’analyse précédente, la présente analyse ne sera pas utilisée pour identifier les domaines pour lesquels des mesures doivent être trouvées. Elle sera utilisée comme un aspect important qui doit être pris en compte pour chacune des mesures proposées.

L’art. 25(1) du RGPD impose aux responsables du traitement de mettre en œuvre des mesures appropriées “qui visent à mettre en œuvre les principes de protection des données ” afin “d’intégrer les garanties nécessaires dans le traitement“. Dans ce contexte, l’exigence d’efficacité exprime que la mise en œuvre de mesures n’est pas un objectif en soi. En effet, les mesures n’ont de valeur qu’en fonction de leur efficacité à mettre en œuvre les principes de protection des données et à intégrer des garanties. Par conséquent, se contenter de mettre en œuvre des mesures sans tenir compte de leur efficacité serait un exercice futile.

Les contextes par rapport auxquels l’efficacité doit être analysée sont prévus à l’art. 25(1) duRGPD sous la forme d’aspects que les responsables du traitement doivent prendre en compte. Ces aspects sont les suivants [énumérés dans un ordre différent de celui utilisé dans le texte du RGPD] :

  • les risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques que présente le traitement“,
  • le coût de la mise en œuvre“,
  • l’état de l’art“, et
  • la nature, la portée, le contexte et les finalités du traitement“.

Lorsque l’on considère l’efficacité dans le contexte des risques encourus par les personnes physiques affectées, il est évident que la mesure doit être efficace pour atténuer les risques. Cela implique également une certaine proportionnalité par rapport à l’ampleur des risques. Si l’on considère un ensemble de mesures mises en œuvre, leur efficacité est suffisante si elle permet d’atténuer le risque à un niveau acceptable.

Lorsque l’on considère l’efficacité dans le contexte du coût, le RGPD semble reconnaître que les ressources disponibles pour mettre en œuvre des mesures sont limitées et doivent être utilisées efficacement. Cela permet aux responsables du traitement d’utiliser des mesures moins coûteuses, rentables, à la place de mesures coûteuses ayant un effet similaire. En d’autres termes, le critère est l’efficacité, et non le caractère abordable ou le coût pour les responsables du traitement en tant que tels. Bien que la prise en compte du coût laisse la possibilité qu’un coût soit jugé excessif, un coût élevé ne peut être utilisé comme justification pour ignorer l’efficacité requise dans des contextes différents. Si les coûts requis pour assurer un niveau adéquat de garanties sont trop élevés pour un responsable du traitement, celui-ci doit s’abstenir de procéder aux activités de traitement.

Si l’on considère l’efficacité dans le contexte de l’état de l’art, les conséquences sont doubles. D’une part, cela empêche les responsables du traitement d’ignorer les nouvelles mesures et de s’abstenir d’actualiser le niveau de protection en fonction de ce qu’offre l’état de l’art. D’autre part, un responsable du traitement ne peut être obligé de mettre en œuvre des mesures qui ont été décrites dans un document de recherche sans avoir été testées ou rendues utilisables dans un environnement opérationnel. Dans les situations où les responsables du traitement comptent sur le marché pour fournir certains types de logiciels, il peut être justifié de limiter les mesures mises en œuvre à celles qui sont effectivement disponibles sur le marché, si celles-ci sont suffisantes pour fournir des protections efficaces. Comme dans le contexte du coût, cela ne peut toutefois pas dispenser des exigences d’efficacité dans d’autres contextes.

Dans le contexte des mesures de sécurité, l’état de l’art a une signification particulière. La cybersécurité peut être considérée comme une course aux armements entre les attaquants et les défenseurs. Dans le paysage des menaces en constante évolution, chaque fois que les défenseurs pensent à des moyens plus efficaces de contrecarrer les attaques, les attaquants trouvent des moyens d’attaque plus sophistiqués. Il est donc évident que le concept de “défense efficace” est en constante évolution. Dans ce contexte, les informations actuelles sur les menaces et les défenses disponibles sont importantes pour évaluer l’efficacité des mesures mises en œuvre. De même, l’absence de mise en œuvre de nouvelles mesures, par exemple sous la forme de mises à jour ou de correctifs critiques pour la sécurité, ne peut être justifiée par les responsables du traitement (sauf dans les rares cas où les nouvelles mesures ne sont pas pertinentes pour les activités de traitement et les risques qui y sont liés).

Notez que l’EDPB souligne dans ses lignes directrices sur le DPbDD que l’état de l’art n’est pas seulement défini par des mesures techniques, mais inclut également des mesures organisationnelles telles que des cadres, des normes, des certifications et des codes de conduite[1] .

Lorsqu’on examine l’efficacité par rapport à la nature, à la portée, au contexte et aux finalités du traitement, il est admis que les mesures doivent être adaptées au traitement en question. Une mesure qui est efficace pour un système d’information traditionnel qui soutient les humains qui prennent des décisions peut ne pas l’être lorsqu’elle est appliquée à une application d’apprentissage automatique qui prend des décisions automatiques ; une mesure qui fonctionne bien pour un traitement de faible volume dans un petit environnement peut ne pas être adaptée à un traitement de grand volume ; et une mesure qui fonctionne efficacement lorsqu’on utilise des sous-traitants dignes de confiance (qui sont eux-mêmes soumis au RGPD) peut ne pas être efficace et suffisante lorsqu’on utilise des sous-traitants moins dignes de confiance (comme ceux situés dans des pays tiers et qui ne sont pas eux-mêmes contraints par le RGPD).

L’art. 5(2) exige que les responsables du traitement soient en mesure de démontrer leur conformité avec le RGPD. Un aspect important de cette obligation est de pouvoir démontrer que les mesures mises en œuvre sont effectivement efficaces. Cela devrait faire partie intégrante du processus de prise de décision concernant les mesures à mettre en œuvre. Les dimensions de l’efficacité sont indiquées à l’art. 25(1) et ont été discutées ci-dessus.

 

  1. Voir le paragraphe 22 des directives de l’EDPB sur le DPbDD.

 

Aller au contenu principal