L’EDSA a publié une nouvelle version 2.0 de l’outil d’aide à la décision déjà existant. paru en 2019 publié des lignes directrices sur le respect de la vie privée dès la conception et le respect de la vie privée par défaut. Une version comparative (Deltaview, PDF) est disponible à l’adresse suivante ici.
Les lignes directrices restent assez légères sur de nombreux points, mais elles contiennent des indications sur la manière dont le respect des principes de traitement peut être assuré concrètement.
Ce que les lignes directrices n’expliquent pas explicitement, c’est la relation entre le respect de la vie privée dès la conception, le respect de la vie privée par défaut, la sécurité des données, la responsabilité et les analyses d’impact. Selon moi, la manière la plus simple de présenter cette relation est la suivante :
- Respect de la vie privée dès la conception est le principe général et le point de départ de la réflexion. Pour l’essentiel, ce principe exige que le responsable réfléchisse suffisamment tôt à la manière de garantir le respect de la protection des données – en particulier les principes de traitement, mais aussi les autres obligations telles que le respect des droits des personnes concernées – tout au long du cycle de vie des données (EDSA : “Controllers need to implement the principles to achieve DPbDD. Ces principes comprennent : la transparence, la légalité, l’équité, la limitation des finalités, la minimisation des données, l’exactitude, la limitation du stockage, l’intégrité et la confidentialité, et la responsabilité”). Dans ce sens, le respect de la vie privée dès la conception n’est pas tant un principe de traitement qu’un métaprincipe qui vise à la réalisation des principes matériels et qui assure en ce sens la protection des données du système. Les exigences – c’est-à-dire les exigences techniques et/ou organisationnelles – qui en découlent concrètement dépendent du projet concret, mais en tout état de cause, le responsable doit évaluer les risques pour les personnes concernées et réfléchir à la manière de les atténuer de manière adéquate.
- Le principe de la Sécurité des données se recoupe fortement avec le principe de Privacy by Design, car la sécurité des données – comprise comme un principe général – exige la sécurisation technique et organisationnelle de la protection des données dans son ensemble. En ce sens, il ne se limite pas au respect de la protection des données techniques au sens de la sécurité informatique. La norme de base correspondante est l’article 24 du RGPD. Celle-ci est concrétisée par le fait que l’art. 5, al. 1, let. f et l’art. 32 RGPD reprennent certains objectifs de protection et mesures qui visent en premier lieu la protection technique des données, c’est-à-dire les objectifs de protection classiques de l’intégrité et de la confidentialité (en plus de la disponibilité et, selon le point de vue, d’autres objectifs de protection). Cette sécurité plus étroite des données (IT Safety et IT Security) est un domaine partiel de la protection générale des données et doit donc être prise en compte dans le cadre de la Privacy by Design.
- Le principe de Protection de la vie privée par défaut est quant à lui une expression du principe de proportionnalité, ou plutôt une concrétisation de ce principe, spécifiquement dans le contexte des “préréglages”. Il est limité à ces dernières et n’exige donc pas, par exemple, de recueillir des consentements qui ne sont pas nécessaires en vertu des articles 6, 9 ou 44 et suivants du RGPD. RGPD ne sont pas nécessaires. Comme les autres principes de traitement, son respect doit être planifié et assuré de manière adéquate dans le cadre du respect de la vie privée dès la conception.
- Sous le titre de la Responsabilité le responsable doit documenter ses réflexions et ses décisions de manière appropriée, au sens d’une obligation autonome (en ce qui concerne les mesures de sécurité, par exemple par des métriques appropriées, des indicateurs clés de performance, comme le note l’EDSA dans ses lignes directrices). Plus les risques sont élevés, plus les exigences matérielles imposées au responsable (et, le cas échéant, au sous-traitant) sont importantes et plus les exigences en matière de responsabilité sont également élevées.
- Une DSFA n’est pas, dans ce contexte, une obligation nouvelle ou différente, mais avant tout une formalisation, déclenchée par des risques bruts élevés, de l’obligation existant de toute façon dans le cadre du Privacy by Design d’évaluer les risques, de planifier leur atténuation et de documenter les deux. Ainsi comprise, l’obligation de procéder à la DSFA est en premier lieu une concrétisation du principe de responsabilité. Par conséquent, seule l’obligation d’informer les autorités de protection des données, le cas échéant, en cas de risques nets élevés, est presque indépendante. De ce point de vue, la réalisation d’une AIPD ne sert en fait, dans de nombreux cas, qu’à documenter la gestion des risques plus générale, qui est de toute façon nécessaire. La réalisation volontaire d’une DSFA peut donc souvent s’avérer utile (mais le caractère volontaire doit être explicitement mentionné, par exemple dans le cadre d’un formulaire approprié). En fin de compte, il n’y a donc pas tant une différence de catégorie entre la procédure générale et la DSFA qu’une différence dans la profondeur et le degré de détail de la mise en œuvre et de la documentation de la gestion des risques (abstraction faite de l’obligation de notification aux autorités mentionnée ci-dessus, qui peut toutefois être supprimée en vertu de la loi révisée sur la protection des données si un conseiller à la protection des données a été désigné).