arrow_back Retour à tous les articles

Article 25
Protection des données dès la conception et protection des données par défaut

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 25 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 25 keyboard_arrow_up

(78) La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en oeuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données.Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 25.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Aucune disposition de la Directive ne porte spécifiquement sur la protection des données dès la conception et de la protection des données par défaut.

Où va-t-on ?

L'article 25 définit les obligations du responsable du traitement qui découlent des principes de protection des données dès la conception et de protection des données par défaut.

L’objectif du législateur européen est de rendre plus effectif et plus dynamique la protection des droits fondamentaux, en renforçant les principes classiques de nécessité, de proportionnalité, de finalité et de transparence avec de nouveaux principes comme la protection dès la conception (data protection by design cfr. article 25, paragraphe 1er) et protection par défaut (data protection by default cfr. article 25, paragraphe 2).

L’objectif de ces principes est de prendre en compte les droits et les intérêts des individus dès la conception du traitement de données et des paramétrages par défaut.

Selon le paragraphe 1er de l’article 25, le principe de data protection by design oblige le responsable du traitement à prendre des mesures et procédures techniques et organisationnelles appropriées – tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même- afin de le rendre conforme au Règlement, compte tenu des risques du traitement.  

Les mesures à adopter doivent tenir compte des techniques disponibles, des coûts liés à leur mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement comme de la probabilité et de la gravité du risque présenté par le traitement au regard des droits et des libertés des personnes physiques.

Parmi ces mesures, le paragraphe 1er cite la minimisation et la pseudonymisation. La notion de pseudonymisation doit être entendue comme « le traitement de données à caractère personnel de telle façon qu'elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable » (art. 4, 5). En revanche, la notion de minimisation ne fait l’objet d’aucune définition dans le Règlement mais est explicitée à l’article 5c.

En vertu de ce principe, de nouvelles techniques innovantes et responsables doivent être développées pour faciliter l’exercice des droits individuels d’opposition, d’accès, d’opt-out, de correction et du droit à la portabilité des données (cfr. EDPS, Opinion 7/2015 du 19 novembre 2015, p. 14 et suivants).

Le second paragraphe aborde le principe de data protection par default. Il oblige le responsable à adopter des mesures consistant à limiter par défaut le traitement de données à caractère personnel à ce qui est strictement nécessaire, en ce qui concerne la quantité de données traitées, leur accessibilité et à leur période de conservation. Ainsi, lorsque le traitement n’a pas pour finalité de fournir des informations au public, le principe de protection par défaut impose d’adopter des mécanismes garantissant que par défaut, les données sont rendues inaccessibles à un nombre indéterminé de personnes physiques, sans intervention de la personne concernée. Il s’agit en réalité d’une application stricte du principe de nécessité déjà contenu dans le principe de finalité lui-même.

Enfin, l’article 25, en son 3e paragraphe, prévoit in fine que le responsable de traitement peut avoir recours à un mécanisme de certification approuvé conformément à l'article 42 afin de démontrer le respect des obligations susmentionnées.

Difficultés probables

Les deux nouveaux devoirs de data protection by design and default poseront difficultés dans l’implémentation en ce qu’ils impliquent une prise en compte de la protection des données à tous les niveaux de processus -et à tous les métiers participants audit processus- de traitement. Ils imposent pour être correctement mis en œuvre une étroite collaboration entre différents métiers au sein de l’organisation du responsable du traitement et une sensibilisation, voire un véritable enseignement de chacun aux principes en cause : les métiers techniques des data (programmeurs, analystes, statisticiens, etc.), les métiers du legal et de la compliance et, le cas échéant, d’autres métiers opérationnels (marketing, etc.). Des processus spécifiques de contrôle devront être mis en place dès la conception d’un projet data.

La difficulté est d’autant plus ardue que l’on est face à des appréciations délicates (principes de nécessité, prise en considération du risque, etc.) qui exigent en réalité un savoir-faire et une pratique de longue date.

Règlement
1e 2e

Art. 25

1. Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en oeuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément attestant du respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Proposition 1 close

1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée.

 2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l’ensemble des secteurs, produits et services.

4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. (...) Compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité du risque présenté par le traitement au regard des droits et des libertés des personnes physiques, les responsables du traitement appliquent (…) des mesures techniques et organisationnelles appropriées pour l'activité de traitement menée et ses objectifs, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et (…) assure la protection des droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures appropriées pour garantir que, par défaut, seules (…) les données à caractère personnel (…) qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées; cela s'applique à la quantité de (…) données collectées, à l'étendue de leur traitement, à leur période de conservation et à leur accessibilité. Lorsque le traitement n'a pas pour finalité de fournir des informations au public, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques, sans intervention humaine.

2 bis. Un mécanisme de certification approuvé conformément à l'article 39 peut être utilisé comme moyen de démontrer le respect des exigences visées aux paragraphes 1 et 2.

3. (…)

4. (…)

Directive

Art. 10

Informations en cas de collecte de données auprès de la personne concernée.

Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement auquel les données sont destinées;

c) toute information supplémentaire telle que:

- les destinataires ou les catégories de destinataires des données,

- le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

Art. 11

Informations lorsque les données n'ont pas été collectées auprès de la personne concernée

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement;

c) toute information supplémentaire telle que:

- les catégories de données concernées,

- les destinataires ou les catégories de destinataires des données,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.

France

Art. 32

I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

II. - Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

- des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

III.-Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

IV.-Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

V.-Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

VI.-Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Belgique

Art. 9

 § 1. Le responsable du traitement ou son représentant doit fournir à la personne concernée auprès de laquelle il obtient les données la concernant et au plus tard au moment où ces données sont obtenues, au moins les informations énumérées ci-dessous, sauf si la personne concernée en est déjà informée :

  a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;

  b) les finalités du traitement;

  c) l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing;

  d) d'autres informations supplémentaires, notamment :

  - les destinataires ou les catégories de destinataires des données,

  - le caractère obligatoire ou non de la réponse ainsi que les conséquences éventuelles d'un défaut de réponse,

  - l'existence d'un droit d'accès et de rectification des données la concernant; sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont obtenues, ces informations supplémentaires ne sont pas nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données;

  e) d'autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la commission de la protection de la vie privée.

  § 2. Lorsque les données n'ont pas été obtenues auprès de la personne concernée, le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard au moment de la première communication des données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne concernée en est déjà informée :

  a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;

  b) les finalités du traitement;

  c) l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing; dans ce cas, la personne concernée doit être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de direct marketing;

  d) d'autres informations supplémentaires, notamment :

  - les catégories de données concernées;

  - les destinataires ou les catégories de destinataires;

  - l'existence d'un droit d'accès et de rectification des données la concernant;

  sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont traitées, ces informations supplémentaires ne sont pas nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données;

  e) d'autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la Commission de la protection de la vie privée.

  Le responsable du traitement est dispensé de fournir les informations visées au présent paragraphe :

  a) lorsque, en particulier pour un traitement aux fins de statistiques ou de recherche historique ou scientifique ou pour le dépistage motivé par la protection et la promotion de la santé publique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés;

  b) lorsque l'enregistrement ou la communication des données à caractère personnel est effectué en vue de l'application d'une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance.

  Le Roi détermine par arrêté délibéré en Conseil des ministres après avis de la Commission de la protection de la vie privée les conditions pour l'application de l'alinéa précédent.

  Lorsque la première communication des données à été effectuée avant l'entrée en vigueur de cette disposition, la communication de l'information doit être effectuée, par dérogation à l'alinéa 1er, au plus tard dans un délai de 3 années suivant la date de l'entrée en vigueur de cette disposition. Cette information ne doit toutefois pas être fournie, lorsque le responsable du traitement était exempté de l'obligation d'informer la personne concernée de l'enregistrement des données en vertu des dispositions légales et réglementaires en application le jour précédant la date de l'entrée en vigueur de cette disposition.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK