La protection de la vie privée dès la conception
La protection de la vie privée dès la conception
Le respect de la vie privée dès la conception signifie que la protection de la vie privée est intégrée par défaut dans les produits, les services et les systèmes. La protection des données des clients devient une force motrice dans l'expérience de l'utilisateur, prenant le même niveau d'importance que la fonctionnalité.
Ce que nous faisons
Application des normes ISO 31700
Protection des consommateurs
- Protection de la vie privée dès la conception pour les biens et services de consommation
- Partie 1 : Exigences de haut niveau
L'objectif de la PbD est de prévenir les violations de données et de protéger la vie privée des personnes en intégrant de manière proactive des mesures de protection de la vie privée dans les systèmes et les processus.
1. Proactif et non réactif ; préventif et non correctif
Le premier principe affirme que la protection de la vie privée doit être placée au début du processus de planification. Avant de concevoir un système et un processus de traitement des données, il faut identifier les risques pour la vie privée posés par le traitement des données, décider des mesures à prendre pour minimiser ou éliminer ces risques et les intégrer dans le système.
7 Principes de protection de la vie privée dès la conception
1. Engagement en matière de protection de la vie privée
2. Amélioration continue
3. Méthodes et normes
1. Engagement en matière de protection de la vie privée
2. Amélioration continue
3. Méthodes et normes
Cela signifie que notre organisation devra :
- Engagement en faveur de la protection de la vie privée - Faire preuve d'un engagement fort et clair au plus haut niveau, dépassant souvent les normes fixées par les lois et les règlements ;
- Amélioration continue - Démontrer un engagement en faveur de la protection de la vie privée, partagé par l'ensemble de l'organisation et les principales parties prenantes ;
- Méthodes et normes - Définir des méthodes qui nous aideront à reconnaître les idées fausses en matière de protection de la vie privée et à prévenir les effets négatifs avant qu'ils ne se produisent, d'une manière innovante et systématique.
2. La vie privée comme paramètre par défaut
La protection de la vie privée par défaut signifie qu'aucune action n'est requise de la part de l'individu pour protéger sa vie privée - également connue sous le nom de protection de la vie privée par défaut.
La protection de la vie privée est intégrée au système et protège les données personnelles par défaut. Il s'agit notamment de préciser les finalités, de limiter la collecte, les périodes de conservation des données, de minimiser les données et de limiter la divulgation, entre autres.
1. Objet Spécification
2. Limitation de l'utilisation, de la divulgation et de la conservation
3. Minimisation des données
1. Objet Spécification
2. Limitation de l'utilisation, de la divulgation et de la conservation
3. Minimisation des données
- Spécification des finalités - communiquer les finalités de la collecte, de l'utilisation, de la conservation et de la divulgation des données à caractère personnel avant la collecte des informations ou au moment de la collecte.
- Limitation de la collecte - limiter la collecte de données à caractère personnel à ce qui est nécessaire aux fins spécifiées.
- Minimisation des données - réduire au strict minimum la collecte de données à caractère personnel. La conception des programmes, des technologies et des systèmes devrait toujours commencer par des interactions et des transactions non identifiables. Il s'agit donc de minimiser l'identifiabilité, l'observabilité et l'interconnexion des informations personnelles.
- Limitation de l'utilisation, de la conservation et de la divulgation - Limiter l'utilisation, la conservation et la divulgation des données à caractère personnel aux finalités pertinentes pour lesquelles la personne a donné son consentement (sauf si la loi l'exige).
3. Le respect de la vie privée intégré à la conception
Le respect de la vie privée intégré à la conception signifie que le respect de la vie privée est un élément essentiel de la fonctionnalité ou de la technologie fournie.
1. Approche systémique et fondée sur des principes
2. Impact sur la vie privée et évaluation des risques
3. Réduire au minimum les incidences sur la vie privée
1. Approche systémique et fondée sur des principes
2. Impact sur la vie privée et évaluation des risques
3. Réduire au minimum les incidences sur la vie privée
- Adopter une approche systémique et fondée sur des principes de l'intégration de la protection de la vie privée, qui s'appuie sur des cadres et des normes susceptibles d'être adaptés et améliorés par le biais d'audits et d'examens externes.
- Réaliser des évaluations de l'impact sur la vie privée et des risques chaque fois que cela est possible et documenter les risques pour la vie privée et toutes les mesures prises pour atténuer ces risques.
- Minimiser l'impact de la technologie, de nos opérations ou de notre architecture informatique.
4. Fonctionnalité complète - Somme positive, pas de somme nulle
1. Intégrer le respect de la vie privée dans la conception
2. Rejeter le principe du jeu à somme nulle
3. Permettre la multifonctionnalité
1. Intégrer le respect de la vie privée dans la conception
2. Rejeter le principe du jeu à somme nulle
3. Permettre la multifonctionnalité
Intégrer le respect de la vie privée dans la conception des technologies, des systèmes ou des processus dans toute la mesure du possible sans nuire à leur fonctionnalité.
- Le respect de la vie privée dès la conception rejette une approche à somme nulle et la mise en concurrence avec d'autres intérêts, objectifs et capacités techniques légitimes. La protection de la vie privée dès la conception englobe les objectifs légitimes non liés à la protection de la vie privée et les prend en compte d'une manière innovante et à somme positive.
- Documenter tous les intérêts et objectifs, définir les fonctions souhaitées, les mesures appliquées et les compromis rejetés comme inutiles, en faveur de la recherche d'une solution qui permette la multifonctionnalité.
5. Sécurité de bout en bout - Protection du cycle de vie complet des données
1. La sécurité
2. Normes de sécurité
1. La sécurité
2. Normes de sécurité
Le respect de la vie privée et la sécurité vont de pair. La sécurisation des données, depuis leur collecte jusqu'à leur suppression complète, est essentielle au maintien de la vie privée.
- Sécurité - La prise en compte du respect de la vie privée dès la conception garantit la sécurité du cycle de vie des données à caractère personnel. Par conséquent, le respect de la vie privée doit être assuré à chaque phase du traitement des données.
- Les normes de sécurité doivent garantir la confidentialité, l'intégrité et la disponibilité des données à caractère personnel tout au long de leur cycle de vie, y compris la suppression des données, le cryptage approprié, le contrôle d'accès et les méthodes d'enregistrement.
6. Visibilité et transparence - Garder l'esprit ouvert
Le respect de la vie privée dès la conception garantit que la pratique commerciale ou la technologie concernée fonctionne conformément aux buts et objectifs fixés et fait l'objet d'une vérification indépendante.
1. L'obligation de rendre compte
2. Ouverture et transparence
3. Conformité
1. L'obligation de rendre compte
2. Ouverture et transparence
3. Conformité
Les composants, les parties et les opérations technologiques doivent rester visibles et transparents pour les utilisateurs et les fournisseurs. Un accent particulier est mis sur les pratiques d'information équitables, qui comprennent la responsabilité, l'ouverture, la transparence et la conformité.
- Responsabilité - lorsque vous collectez des données personnelles, vous êtes également tenu d'assurer leur protection. Toutes les activités liées aux procédures et aux politiques en matière de protection de la vie privée doivent être documentées et confiées à une personne spécifique.
- Ouverture et transparence - toutes les informations pertinentes concernant la gestion des données à caractère personnel, vos politiques et vos procédures doivent être mises à la disposition des personnes concernées.
- Conformité - établir des mécanismes de plainte et de recours et communiquer des informations aux individus, y compris sur la manière d'accéder au niveau de recours suivant. Contrôler et évaluer le respect des politiques et procédures en matière de protection de la vie privée.
7. Respect de la vie privée des utilisateurs - rester centré sur l'utilisateur
Les intérêts et les besoins des individus doivent être au centre du concept de Privacy by design. Les meilleurs résultats sont obtenus lorsque les individus peuvent jouer un rôle actif dans la gestion de leurs données personnelles. La protection de la vie privée des personnes est soutenue par :
1. Consentement
2. Précision
3. L'accès
1. Consentement
2. Précision
3. L'accès
Les intérêts et les besoins des individus doivent être au centre du concept de Privacy by design. Les meilleurs résultats sont obtenus lorsque les individus peuvent jouer un rôle actif dans la gestion de leurs données personnelles. La protection de la vie privée des personnes est soutenue par :
- Consentement - la personne donne son consentement au traitement des données à caractère personnel pour une ou plusieurs finalités spécifiques. Il peut être retiré ultérieurement et ne représente qu'une base légale (sur six) pour le traitement des données à caractère personnel.
- Exactitude - principe selon lequel les données à caractère personnel doivent être mises à jour. Elles doivent être exactes et complètes.
- Accès - permet aux individus d'accéder aux informations sur les données personnelles que l'organisation traite à leur sujet.
- Conformité - Les organisations doivent communiquer des informations sur le traitement des données à caractère personnel et donner des indications sur la manière de déposer une plainte et sur le niveau de recours suivant.