Vue d’ensemble et principale obligation pour les responsables du traitement
Home » RGPD » Concepts principaux » Protection des données dès la conception et par défaut » Analyse de l’article 25. La protection des données dès la conception » Vue d’ensemble et principale obligation pour les responsables du traitement

L’art. 25 du RGPD comprend les éléments suivants :

Art. 25(1) :

Compte tenu de […], le responsable du traitement met en œuvre, tant au moment de la détermination des moyens de traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées […] qui visent à mettre en œuvre de manière efficace les principes de protection des données […] et à intégrer les garanties nécessaires dans le traitement […].

La principale obligation des responsables du traitement énoncée à l’art. 25(1) du RGPD est donc qu’ils ” mettent en œuvre [...] des mesures techniques et organisationnelles appropriées […] qui visent à mettre en œuvre les principes de protection des données ” (voir la section “Grands principes” dans la partie générale des présentes lignes directrices).

Tout au long du RGPD[1] , il est indiqué que la mise en œuvre de mesures techniques et organisationnelles est le moyen de se conformer aux principes de protection des données. Cela implique que tout ce que fait un responsable du traitement à l’appui des principes de protection des données doit être considéré comme une mesure. Par conséquent, le concept de mesure doit être compris dans un sens très large. Cela signifie qu’il n’est pas limité aux artefacts physiques (tels que les pare-feu) ou aux actions spécifiques (telles que la formation du personnel). Elle doit également englober toutes les considérations et décisions qui sont nécessaires pour déterminer les moyens de traitement d’une manière qui soit conforme aux principes et obligations de la protection des données.

L’art. 25(1) du RGPD précise également que ces mesures doivent être mises en œuvre “de manière efficace“. L’efficacité sera donc analysée ci-dessous.

En outre, l’art. 25(1) stipule que les mesures sont mises en œuvre “pour intégrer les garanties nécessaires dans le traitement“. En d’autres termes, la mise en œuvre des mesures est le moyen d’atteindre l’objectif d’intégrer les garanties nécessaires dans le traitement. D’un point de vue grammatical, cette interprétation devient encore plus claire lorsque l’on développe “intégrer” dans sa forme complète “afin d’intégrer“. Le “pour” exclut l’interprétation selon laquelle, outre la mise en œuvre des mesures, l’intégration des garanties est également requise.

On peut soutenir que l’essence de l’art. 25(1) réside dans la formulation “tant au moment de la détermination des moyens de traitement qu’au moment du traitement lui-même“. Cela signifie que la mise en œuvre des mesures doit se faire en deux périodes distinctes. Cela implique donc un modèle de phase pour une activité de traitement. Cela est compatible avec l’interprétation de la protection des données dès la conception, qui consiste à prendre en compte la protection des données dans chaque phase d’une activité de traitement. L’interprétation juridique des phases du traitement visées à l’art. 25(1) est fournie dans la sous-section suivante.

 

  1. Il s’agit notamment des art. 24, 25 et 32 du RGPD.

 

Aller au contenu principal