Article 25 du RGPD : Protection des données dès la conception et protection des données par défaut

Introduction

L’article 25 du Règlement général sur la protection des données (RGPD) instaure les principes de « protection des données dès la conception » (privacy by design) et de « protection des données par défaut » (privacy by default). Ce dispositif impose au responsable du traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées dès le stade de conception des traitements de données personnelles, ainsi qu’au moment de leur mise en œuvre. L’objectif est d’assurer une protection effective des droits des personnes concernées en intégrant la confidentialité et la minimisation des données dans le fonctionnement même des systèmes, produits et services.

Explication de l’article

L’article 25 du RGPD impose au responsable du traitement l’obligation d’intégrer la protection des données dès la conception (privacy by design) et par défaut (privacy by default) dans tous les traitements de données personnelles. Cette obligation s’applique tout au long du cycle de vie du traitement, dès la détermination des moyens et au moment de la mise en œuvre effective du traitement.

Concrètement, la protection des données dès la conception signifie que le responsable du traitement doit anticiper les risques pour les droits et libertés des personnes physiques et mettre en place des mesures techniques et organisationnelles appropriées pour limiter ces risques, comme la pseudonymisation, la minimisation des données, ou la mise en place de garanties adaptées. Ces mesures doivent tenir compte de l’état des connaissances, des coûts, de la nature, de la portée, du contexte et des finalités du traitement ainsi que du degré de probabilité et de gravité des risques.

La protection par défaut, quant à elle, exige que seules les données strictement nécessaires à chaque finalité du traitement soient collectées et traitées. Par défaut, les données ne doivent pas être accessibles à un nombre indéterminé de personnes sans intervention explicite de la personne concernée. Cette protection vise à limiter la quantité, l’accès, la durée de conservation, et l’étendue du traitement des données, assurant ainsi un respect maximal de la vie privée sans nécessiter d’action supplémentaire de la part de l’utilisateur.

Enfin, l’article 25 reconnaît la possibilité d’utiliser des mécanismes de certification pour démontrer la conformité aux exigences de protection dès la conception et par défaut. Cette approche proactive et intégrée permet d’assurer une protection efficace et dynamique des données personnelles, qui est désormais une composante fondamentale des systèmes et traitements informatiques conformes au RGPD.

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Libérez-vous du RGPD

Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.

Échanger avec un expert RGPD

Texte original du RGPD

1. Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en oeuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément attestant du respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Aucune disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Aucune disposition correspondante. La loi du 6 janvier 1978 n’est pas complète puisqu’elle ne mentionne pas tous les nouveaux droits ou obligations posés par le RGPD, pourtant également applicables (exemple : droit à la portabilité, obligation de réaliser des analyses d’impact, etc.).

Analyse des 3 textes qui précèdent

L’article 25 du RGPD impose au responsable du traitement d’intégrer la protection des données dès la conception (privacy by design) et par défaut (privacy by default) dans tous les traitements. Cela signifie que dès la création et le paramétrage des systèmes, seules les données strictement nécessaires sont traitées, avec des mesures techniques et organisationnelles adaptées pour protéger les droits des personnes. Ce principe est nouveau dans le RGPD et n’était pas spécifiquement prévu dans la Directive 95/46 CE ni la Loi Informatique et Libertés. Il demande une approche proactive et globale, impliquant une collaboration entre différents métiers, et visant à rendre la protection des données automatique et intégrée par défaut

Jurisprudences

Françaises

Sanction de 1, 800, 000 euros d’amende

Affaire S-Pankki Oyj (ETid-2873). Cette décision est liée à la sanction prononcée contre S-Pankki Oyj pour ne pas avoir suffisamment appliqué les mesures techniques et organisationnelles permettant de garantir la protection des données dès la conception et selon les principes de sécurité exigés par le RGPD.

Délibération SAN-2021-021 du 28 décembre 2021 – Légifrance

Sanction de 300 000€ d’amende pour Free. Dans sa décision du 28 décembre 2021, la CNIL condamne la société FREE a une amende de 300 000€ pour plusieurs manquements au RGPD. L’article 25 est cité : il est reproché à la société de méconnaître le principe de Privacy by Design, puisque la société continuait d’envoyer des factures malgré la résiliation de lignes. Ce comportement traduit l’absence de mise en place de mesures techniques et organisationnelles.

CE Fr., n°428451 (25 novembre 2020)

Le Conseil d’État rappelle que, conformément à l’article 25 du RGPD, des mesures techniques et organisationnelles appropriées, notamment la pseudonymisation, doivent être mises en œuvre pour garantir la protection des droits des personnes concernées. Le décret attaqué a été annulé en partie parce qu’il ne prévoyait pas de telles mesures suffisantes garantissant la protection du secret médical, ce qui est une exigence issue de l’article 25.

Recommandations

CEPD

Lignes directrices 4/2019 relatives à l’article 25 Protection des données dès la conception et protection des données par défaut

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.