Cette section examine comment le RGPD contient uniquement des obligations pour les responsables du traitement (et les sous-traitants) et comment cela peut indirectement influencer les fournisseurs de technologie.

La protection des données dès la conception peut être considérée comme la prise en compte de la protection des données non seulement pour les opérations de traitement qui ont lieu dans la phase opérationnelle, mais aussi plus tôt dans les phases de planification et de mise en œuvre. Plus généralement, on pourrait considérer la protection des données dès la conception comme une méthodologie qui prend en compte la protection des données dans toutes les phases du cycle de vie d’une activité de traitement^[1] , depuis sa conception, en passant par la conception et la mise en œuvre, jusqu’à son utilisation opérationnelle et son démantèlement final.

Le cycle de vie complet implique généralement des activités d’acteurs autres que le responsable du traitement et le sous-traitant. Plus important encore, de nombreuses décisions qui affectent les aspects de protection des données d’une activité de traitement sont prises par des fournisseurs de technologie, qui conçoivent et mettent souvent en œuvre des logiciels et des systèmes. Lorsque les fournisseurs de technologies investissent dans le développement de produits et de services qui sont ensuite proposés sur le marché, ils contribuent également à définir l’état de l’art d’un certain type de traitement des données à caractère personnel.

En revanche, le RGPD exprime des obligations pour les responsables du traitement et les sous-traitants. Il manque toute obligation directe pour les fournisseurs de technologie. Dans son avis préliminaire sur le privacy by design^[2] , le CEPD souligne ce fait en déclarant ce qui suit^[3] :

“Une limitation sérieuse des obligations de l’article 25 est qu’elles ne s’appliquent que pour imposer une obligation aux responsables du traitement et non aux développeurs de ces produits et technologies utilisés pour traiter les données à caractère personnel. L’obligation pour les fournisseurs de produits et de technologies n’est pas incluse dans les dispositions substantielles du RGPD.”

Étant donné que le RGPD dans son ensemble, et l’art. 25 en particulier, n’expriment que des obligations pour les responsables du traitement (et les sous-traitants), la portée de la présente section est limitée en conséquence.

S’il n’existe pas d’obligations légales pour les fournisseurs de technologies, l’art. 25 du RGPD les influence néanmoins indirectement. Le considérant 78 du RGPD y fait allusion en indiquant ce qui suit :^[4] :“Les principes de la protection des données dès la conception et par défaut devraient également être pris en considération dans le cadre des appels d’offres publics.” La manière dont l’influence sur les fournisseurs de technologies se produit est décrite plus en détail dans la suite.

L’argument porte sur les logiciels créés par un fournisseur de technologie. Il existe deux possibilités pour qu’un responsable du traitement puisse obtenir un tel logiciel :

• À la suite d’un développement personnalisé, ou
• En acquérant le logiciel sur le marché.

Dans le premier cas, la conception et le développement du logiciel sont déclenchés par le responsable du traitement et le fournisseur de technologie peut être interne ou externe ; dans le second cas, il existe une multitude de responsables du traitement ayant des besoins similaires qui créent une demande du marché pour certains types de logiciels. La conception et le développement du logiciel sont alors déclenchés par le fournisseur de technologie dans le but d’atteindre une position concurrentielle sur le marché.

Les détails techniques inhérents au développement de logiciels sont généralement inaccessibles aux responsables du traitement et à leurs représentants. Par conséquent, dans les deux cas, l’interaction entre les responsables du traitement et les fournisseurs de technologie se limite à la communication des exigences. En particulier, le rôle des exigences dans les deux cas est le suivant :

• Dans le cas du développement personnalisé, les exigences sont le principal outil des responsables du traitement pour exprimer les objectifs du processus de développement. Les exigences sont également utilisées pour déterminer si le processus de développement s’est terminé avec succès. Cela se produit lors des tests d’acceptation.
• Dans le cas où les responsables du traitement achètent des logiciels, ils ont besoin d’exigences pour guider leur sélection de logiciels adéquats parmi les offres du marché. Dans le cadre d’un appel d’offres, ces exigences peuvent être communiquées aux fournisseurs de technologie afin de solliciter des offres adaptées aux besoins ; lorsque les logiciels sont achetés sans appel d’offres, les responsables du traitement doivent vérifier si les différentes offres de logiciels candidats répondent aux exigences. Dans les deux cas, la validation des offres par rapport aux exigences est un facteur important dans la décision d’achat par le responsable du traitement.

Ainsi, alors que les obligations des fournisseurs de technologie sont hors du champ d’application de l’art. 25, les responsables du traitement sont tenus de déterminer les exigences adéquates en matière de protection des données et assument l’entière responsabilité des logiciels qu’ils exploitent. La validation du logiciel par rapport aux exigences peut prendre en compte l’état de l’art et le coût de la mise en œuvre (voir l’article 25 du RGPD et la discussion qui suit). L’absence ou le coût excessif de logiciels adéquats sur le marché ne peut toutefois pas être considéré comme une justification valable pour l’exploitation de logiciels inadéquats.

 

1. Le terme activité de traitement est ici utilisé au sens de l’art. 30 du RGPD relatif aux registres des activités de traitement et de l’article 4(16)(b) du RGPD. Dans les deux cas, une activité de traitement est l’unité de base de l’entreprise d’un responsable du traitement qui implique le traitement de données à caractère personnel. ↑
2. Le Contrôleur européen de la protection des données (CEPD), Avis 5/2018, Avis préliminaire sur la vie privée dès la conception, 31 mai 2018, https://edps.europa.eu/sites/edp/files/publication/18-05-31_preliminary_opinion_on_privacy_by_design_en_0.pdf (dernière visite le 29/6/2020). ↑
3. Pages 7 et 8, côté numéro 37. ↑
4. Voir la phrase 5. ↑