La nouvelle loi fédérale sur la protection des données (nLPD) introduit dans la législation suisse la notion de privacy by design, ou protection des données dès la conception. Il s’agit d’une série de principes destinés à s’assurer que la protection des données sera un enjeu central du développement de tout produit ou service.
Et non pas une préoccupation annexe, réglée à la va-vite en fin de parcours.
Des principes établis depuis plus de 20 ans
Même si la notion de Privacy by design ne fait son apparition qu’à présent dans notre législation, elle a été développée à la fin des années 1990 par Ann Cavoukian, qui était alors Commissaire à la protection des données personnelle de l'Etat de l’Ontario (Canada).
Ses travaux se basent eux-mêmes sur le Code of Fair information Practices, publié en 1973. Il a été en 1980 des 8 principes fondamentaux de l’OCDE en matière de protection des données personnelles, qui ont ensuite servi de base pour la plupart des législation nationales sur le sujet.
La protection des données comme enjeu central
L’idée d’Ann Cavoukian vise à renforcer ces principes et assurer leur intégration systématique dans le développement de réseaux et de technologies. En effet, tout comme l’innovation, la créativité ou la compétitivité, la protection de la vie privée doit être pensée dans une perspective de design-thinking et intégrée à tous les niveaux des systèmes qui influencent nos vies.
Les 7 principes du Privacy by design
Appliquer le Privacy by design signifie concrètement appliquer manière effective les 7 principes suivants.
1. Prendre des mesures proactives et non réactives, préventives et non correctives
L’objectif du Privacy by design est d’anticiper les risques de violation de la sécurité et de prendre les mesures nécessaires pour éviter qu’ils ne se réalisent.
2. Assurer la protection implicite de la vie privée
La règle est que si une personne ne fait rien, sa vie privée demeure intacte. Les utilisateurs ne doivent pas avoir à effectuer une action pour préserver leur vie privée.
3. Intégrer la protection de la vie privée dès la conception
Le Privacy by design doit être intégré dès la conception du traitement, notamment dans l’architecture, les procédures, les protocoles et les systèmes. Il faut étudier le traitement envisagé dans un contexte le plus large possible et évaluer chaque alternative.
4. Assurer une fonctionnalité complète selon un paradigme à somme positive et non nulle
Le Privacy by design vise à prendre compte tous les intérêts et objectifs légitimes de manière positive et « gagnant-gagnant », sans que la fonctionnalité complète ne soit compromise.2
5. Assurer la sécurité de bout en bout et pendant toute la durée de conservation des renseignements
Il ne doit pas y avoir de faille ni dans la protection, ni dans la responsabilité. La sécurité est particulièrement importante, puisqu’il ne peut pas y avoir de protection de la vie privée sans une sécurité forte.
6. Assurer la clarté et la transparence
La confiance n’exclut pas le contrôle. Le PbD vise à assurer que toutes les parties prenantes, quel que soit le traitement ou la technologie considéré, agissent en conformité avec leurs déclarations et puissent faire l’objet d’une vérification indépendante.
7. Respecter la vie privée des utilisateurs
Les intérêts des individus doivent être mis au premier plan par les concepteurs et architectes du traitement. Cela signifie des mesures concrètes telles que le paramétrage non invasif par défaut des fonctionnalités, une notification appropriée, le respect du droit d’accès, la possibilité de mettre à jour ses données, etc.
Le Privacy by design dans le RGPD et la nLPD
Selon que le responsable de traitement soit soumis à la nLPD suisse ou au RGPD européen, la mise en application du Privacy by design n’a pas les mêmes impacts.
Le Privacy by design dans le RGPD
Le responsable de traitement doit appliquer le Privacy by design avant et durant toute la durée du traitement, de manière continue (art. 25 RGPD). Cela implique un examen régulier de l’effectivité des mesures et des garanties choisies. Cela signifie aussi que le Privacy by design s’applique aux systèmes traitant des données à caractère personnel qui existaient avant l’entrée en vigueur du RGPD.
La violation de ces obligations fait l’objet d’une amende administrative qui peut aller jusqu’à 2% du chiffre d’affaires annuel ou 10 millions d’euros.
Le Privacy by design dans la LPD
La LPD sera immédiatement applicable dès son entrée en vigueur, sans délai de transition. Elle n’aura pas non plus d’effet rétroactif, ce qui signifie que les principes du Privacy by design ne seront pas applicables aux traitements qui ont débuté sous l’ancienne loi tant que les finalités du traitement restent inchangées et que de nouvelles données ne sont pas collectées.
On notera également, à la lecture de l’article 7 nLPD, que le responsable de traitement «est tenu de mettre en place les mesures de protection des données dès la conception et par défaut. Mais la violation de cette article ne sera toutefois pas être constitutive d’une atteinte à la personnalité au sens de l’art. 30 al. 2.
Les perspectives du Privacy by design en Suisse
Il sera intéressant de voir comment les responsables de traitement suisses appliqueront (ou non) la notion de Privacy by design. Le fait d’exempter les traitements existants et de ne pas sanctionner le non-respect de ces principes n’est à l’évidence pas dans l’intérêt des personnes privées. A mes yeux, il ne l’est pas non plus dans celui des responsables de traitement, car ils devront composer avec deux approches législatives différentes pour un même sujet.
Peut-être les parlementaires ont-ils voulu préserver les responsables de traitement d’une trop lourde mise en conformité. Mais intégrer un principe dans la loi sans forcer sa mise en application a tout d’un vœu pieu.
Dans tous les cas, la prise en compte en amont du Privacy by design est fondamentale, au-delà des aspects de conformité. Le responsable de traitement a en effet tout intérêt à intégrer ces principes le plus tôt possible. Car il pourrait s’avérer très coûteux de devoir modifier ultérieurement des systèmes ou des processus de traitement qui ont déjà été conçus.