La protection des données dès la conception

Le RGPD requiert du responsable du traitement, tant au moment de la détermination des moyens du traitement qu’au moment même du traitement,  de mettre en œuvre les mesures techniques et organisationnelles appropriées et garantir que, par défaut, seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement sont traitées. 

La protection de la vie privée dès la conception est donc une mesure proactive et non corrective. Il est  primordial, pour le respect des dispositions du RPGD, de mettre en œuvre une gestion efficace de l’information et des risques sur les personnes concernées (notamment en analysant si une DPIA est requise), dès les premières étapes de la conception de nouveaux projets, et tout au long du cycle de traitement des données à caractère personnel. 

Cette obligation constitue une précaution et un avantage pour l’organisation. En effet, elle peut permettre au responsable de traitement de réaliser des économies, car il est plus facile de prendre en compte les exigences légales lors de la phase de planification, que de repenser le produit ou le service afin de se conformer aux dites exigences relatives à la protection des données, avec le surcoût qui pourrait en résulter.

A cet effet, l’organisation doit identifier dès la phase de conception d’un projet, d’un service ou d’un produit, par exemple lors du développement d’une application ou d’un programme, les mesures qui assureront la protection des données à caractère personnel telles que :

• Pseudonymiser et /ou le chiffrer des données 

• Limiter techniquement et par défaut, la collecte de données 

• Faciliter l’exercice des droits des utilisateurs finaux au moyen de fonctionnalités en ligne 

• Assurer la sécurité des données tout au long de leur vie et celle de l’organisation.

Un accompagnement sur mesure

MGSI vous offre la possibilité de transformer une contrainte juridique en un avantage commercial, en vous accompagnant dans la mise en œuvre des principes de protection des données dès la conception et par défaut, que ce soit pour toute votre organisation ou pour un projet spécifique.

Nous proposons d’aider votre organisation à définir et mettre en œuvre un programme de Privacy by Design. Nous pouvons aussi aider votre organisation à intégrer un tel programme dans le cycle de développement de vos produits et services.

Nous pouvons accompagner les chefs de projet, DPOs, CISOs, développeurs de logiciels, architectes de systèmes, ainsi que le service informatique dans l’intégration des principes de la protection des données dans chaque phase du développement de produit ou service, notamment :

• le recueil des exigences (métier, protection des données, sécurité de l’information, etc.)
• la conception
• le codage
• les tests
• la diffusion
• la maintenance

Par ailleurs, MGSI peut vous conseiller sur la nécessité de mettre en œuvre des techniques de désidentification (anonymisation ou pseudonymisation ) lors du développement d’un produit ou service.