Le Conseil européen de la protection des données (EDPB) a publié des lignes directrices sur la protection des données dès la conception et par défaut[1] . Il souligne l’importance de comprendre et d’appliquer les principes de protection des données (voir la section “Grands principes” dans la partie générale de ces lignes directrices) et de mettre en œuvre les droits des personnes concernées (voir la section “Droits des personnes concernées” dans la partie générale de ces lignes directrices).
L’importance des principes de protection des données est par exemple exprimée au paragraphe 61 : ” Les responsables du traitement doivent mettre en œuvre les principes pour réaliser le DPbDD. Ces principes sont les suivants : transparence, licéité, loyauté, limitation de la finalité, minimisation des données, précision, limitation du stockage, intégrité et confidentialité, et responsabilité. Ces principes sont décrits à l’article 5 et au considérant 39 du RGPD. Pour avoir une compréhension complète de la manière de mettre en œuvre le DPbDD, l’importance de comprendre la signification de chacun des principes est soulignée.”
L’importance des droits des personnes concernées est énoncée au paragraphe 63 : “Alors que cette section se concentre sur la mise en œuvre des principes, le responsable du traitement doit également mettre en œuvre des moyens appropriés et efficaces pour protéger les droits des personnes concernées, également conformément au chapitre III du RGPD lorsque cela n’est pas déjà mandaté par les principes eux-mêmes.”
Les lignes directrices de l’EDPB consacrent leur section 3 à la mise en œuvre des principes de protection des données. Les lignes directrices PANELFIT vont plus loin en fournissant une description plus détaillée de chaque principe ainsi que de nombreux exemples de mesures techniques et organisationnelles adaptées à la mise en œuvre de ces principes.
Comme les lignes directrices de l’EDPB, le texte suivant analyse également la signification de l’article 25 du RGPD. Le présent texte tente toutefois de fournir des orientations concrètes supplémentaires. Pour ce faire, il fournit non seulement une analyse juridique des phases du traitement selon le RGPD, mais aussi une analyse technique des tâches nécessaires pour chaque phase. En particulier, cela est fait pour la détermination des moyens de traitement et pour le traitement lui-même. Dans chacune des tâches identifiées, les principes de protection des données peuvent alors être appliqués et les mesures techniques et organisationnelles identifiées et mises en œuvre.
Une deuxième différence majeure entre le présent texte et les lignes directrices de l’EDPB est que le premier aborde le processus réel nécessaire à l’application du DPbDD dans les différentes phases.
Une différence mineure est que le présent texte entre dans le détail de la manière dont les responsables du traitement peuvent transmettre les exigences aux producteurs de logiciels et de services. Le texte n’aborde pas les mérites de la certification, cependant ; si cela s’avère pertinent pour les lecteurs, ils sont renvoyés aux directives de l’EDPB.
- Conseil européen de la protection des données, Lignes directrices 4/2019 sur l’article 25 Protection des données dès la conception et par défaut, version 2.0, adoptées le 20 octobre 2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf (dernière visite le 30/11/2021). ↑