L’au­to­ri­té de con­trô­le espa­gno­le : Gui­de sur le respect de la vie pri­vée dès la conception

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • L’AEPD publie un gui­de sur le Pri­va­cy by Design, basé sur sept prin­cipes fon­da­men­taux de la pro­tec­tion des données.
  • Le Pri­va­cy by Design enga­ge en pre­mier lieu les respons­ables ; les pre­sta­tai­res de ser­vices sont indi­rec­te­ment con­cer­nés par les exi­gen­ces des clients.
  • Les prin­cipes de pro­tec­tion des don­nées sont asso­ciés à trois objec­tifs de pro­tec­tion : la non-cir­cula­ti­on, la trans­pa­rence et le contrôle.
  • La sécu­ri­té des don­nées (inté­gri­té, con­fi­den­tia­li­té, dis­po­ni­bi­li­té) en fait par­tie, mais la pro­tec­tion des don­nées va au-delà ; la con­for­mi­té avec la SDM est mentionnée.

L’au­to­ri­té de con­trô­le espa­gno­le (Agen­cia espa­ño­la de pro­tección de datos, AEPD) a publié un gui­de sur le Pri­va­cy by Design (PDF en anglais).

L’au­to­ri­té ou le gui­de se base sur les prin­cipes sui­vants ou “prin­cipes fon­da­teurs” de :

  1. Proac­ti­ve pas réac­ti­ve ; Pré­ven­ti­ve pas réparatrice
  2. La con­fi­den­tia­li­té com­me paramèt­re par défaut
  3. La pro­tec­tion de la vie pri­vée inté­g­rée à la conception
  4. Fonc­tion­na­li­té com­plè­te : som­me posi­ti­ve, pas de som­me nulle
  5. Sécu­ri­té de bout en bout : pro­tec­tion com­plè­te du cycle de vie
  6. Visi­bi­li­té et trans­pa­rence : gar­der les cho­ses ouvertes
  7. Respect de la vie pri­vée des uti­li­sa­teurs : rester cen­tré sur l’utilisateur

Ces prin­cipes sont expli­qués ci-des­sous. L’au­to­ri­té pré­cise ensuite que l’ob­li­ga­ti­on de Pri­va­cy by Design con­cer­ne le responsable du trai­te­ment (et bien enten­du les core­spons­ables), mais pas les pre­sta­tai­res de ser­vices. Les pre­sta­tai­res de ser­vices sont indi­rec­te­ment con­cer­nés dans la mesu­re où leurs cli­ents peu­vent dépend­re de pro­duits con­çus en con­sé­quence pour leur mise en conformité.

Dans une deu­xiè­me par­tie, l’Au­to­ri­té expli­que les exi­gen­ces en matiè­re de pro­tec­tion des don­nées pour la con­cep­ti­on des systè­mes de trai­te­ment des don­nées. Pour ce fai­re, elle clas­se les prin­cipes de la légis­la­ti­on sur la pro­tec­tion des don­nées en trois objec­tifs de pro­tec­tion supérieurs :

  1. Non-con­ca­té­na­ti­on :
    1. Mini­mi­sa­ti­on des données
    2. Limi­ta­ti­on de la mémoire
    3. Inté­gri­té et confidentialité
  2. Trans­pa­rence
    1. Léga­li­té, équi­té et transparence
    2. Affec­ta­ti­on des fonds
  3. Con­trô­le
    1. Affec­ta­ti­on des fonds
    2. Exac­ti­tu­de
    3. Inté­gri­té et confidentialité
    4. Responsa­bi­li­té (accoun­ta­bi­li­ty)

L’in­té­gri­té, la con­fi­den­tia­li­té et la dis­po­ni­bi­li­té, c’est-à-dire les objec­tifs de pro­tec­tion de la sécu­ri­té des don­nées, sont inclus par­ce que les Sécu­ri­té des don­nées est un impé­ra­tif de la légis­la­ti­on sur la pro­tec­tion des don­nées ; mais la pro­tec­tion des don­nées va plus loin, c’est pour­quoi la de la pro­tec­tion des don­nées Les objec­tifs de pro­tec­tion sont plus larges.

Cet­te clas­si­fi­ca­ti­on de l’Au­to­ri­té n’est pas nou­vel­le. Elle coïn­ci­de en par­tie avec le système alle­mand Modè­le stan­dard de pro­tec­tion des don­nées (SDM)Il s’a­git d’un outil qui per­met de véri­fier sys­té­ma­ti­quement le respect des exi­gen­ces en matiè­re de pro­tec­tion des don­nées. La con­fé­rence alle­man­de des com­mis­saires à la pro­tec­tion des don­nées de l’É­tat fédé­ral et des Län­der (DSBK) avait adop­té le con­cept des objec­tifs de pro­tec­tion en 2010 et, en 2015, le SDM a été publié sous la for­me d’un manu­el. Le site ver­si­on actu­el­le 2.0 a été adop­tée par la 98e con­fé­rence de la CPPD, qui s’est tenue du 5 au 7 novembre 2019.