Privacy by Design : les enjeux de la cybercriminalité appliqués à vos projets
Mettre en place un système pour assurer la protection et la confidentialité des données personnelles des utilisateurs de votre site ou de votre plateforme, c'est bien et c'est d'ailleurs aujourd'hui une obligation légale. Inclure la construction de ce système à la création de votre service digital dès le début et ainsi gagner en efficacité par la suite, c'est encore mieux ! C'est ce que propose le concept de Privacy by Design.
Dans cet article, nous faisons le point sur les bases de cette démarche préconisée par les spécialistes de la sécurité des données. Découvrez quel est son principe, comment le mettre en œuvre et quels sont ses impacts ?
Privacy by Design : de quoi parle-t-on ?
Le Privacy by Design est une méthodologie pensée pour permettre aux entreprises de répondre de manière optimale aux exigences du Règlement général pour la protection des données (RGPD) sur la protection de la vie privée.
Son principe, relativement simple, propose de créer les structures des bases destinées à recevoir et stocker les données des utilisateurs, mais aussi les processus de traitement dès le début de la conception du projet web, quelle que soit sa nature : site internet, SaaS, plateforme, application et tout autre produit nécessitant la manipulation de données personnelles.
Comment mettre en œuvre le Privacy by Design ?
Rappelons-le, le Privacy by Design est un principe et non une démarche technique à suivre. Il ne propose donc aucun procédé ni outil spécifiques. Pour le mettre en place, les entreprises doivent avant tout adopter des mesures de prévention, afin de limiter au maximum les problèmes de protection de données générés par un système qui n'a pas été construit pour cela.
Dans un premier temps, il est important de respecter le principe de Privacy by Default qui oblige les entreprises à appliquer aux utilisateurs les paramètres de confidentialité les plus élevés, par défaut. Si ces derniers souhaitent les abaisser, ils le peuvent, mais en aucun cas ils ne doivent être contraints d'effectuer une démarche pour renforcer la protection de leurs données.
Ce principe devra être maintenu tout au long du temps d'utilisation et une attention particulière devra être portée aux mises à jour : la configuration des paramètres de confidentialité choisie par l'utilisateur doit impérativement rester la même.
Ensuite, tout au long de la création du projet web, voici quelques éléments à prendre en compte afin de respecter le concept de Privacy by Design.
Quelles données collecter et conserver ?
Quelles sont les données personnelles réellement utiles à l'utilisation de votre service en ligne ? Partez du principe que moins vous aurez de données à traiter, plus il vous sera facile de respecter la vie privée des utilisateurs.
Par exemple, est-il nécessaire de connaître l'identité de vos clients ? Un pseudonyme peut faire l'affaire la plupart du temps. Idem pour la date de naissance et les coordonnées. Si une localisation est nécessaire, un code postal peut suffire, donc inutile de demander l'adresse exacte. Réfléchissez à ce dont vous avez vraiment besoin pour faire fonctionner l'application et contentez-vous de cela.
De manière générale, évitez les collectes passives d'informations et gardez uniquement celles qui se montrent indispensables à l'utilisation de votre plateforme.
Stocker et effacer les données personnelles
Toutes les données dites personnelles (nom, prénom, adresse électronique, date de naissance, login, etc.) pouvant susciter l'intérêt de cybercriminels pratiquant le vol d'identité doivent être chiffrées.
De même, les mots de passe des utilisateurs ne peuvent se contenter d'un stockage en l'état. Il est impératif de prévoir un système de hachage pour le sécuriser. En cas de vol de données, cette mesure rend le mot de passe indéchiffrable et donc inexploitable par les hackers.
Les données enregistrées ne devraient pas l'être ad vitam aeternam. À partir d'un certain temps d'inactivité ou après désinstallation, il est recommandé de créer un système permettant de les effacer automatiquement, après notification à l'utilisateur. Ces derniers doivent également pouvoir les faire disparaître facilement, dès qu'ils le souhaitent. Un formulaire ou un mode d'emploi permettant de réaliser cette opération doit donc être mis à leur disposition.
Comment gérer les partages de données entre les utilisateurs ?
Certaines plateformes permettent de partager des informations avec les autres membres de la communauté, comme les réseaux sociaux ou les sites d'avis par exemple. Leur fonctionnement doit inclure un réglage fin des paramètres de partage et ceux-ci doivent toujours être réglés par défaut sur l'interdiction de partager les données. C'est à l'utilisateur de choisir délibérément quel type d'informations il veut partager et avec quelle catégorie de personnes.
Données et consentement
Pour réaliser certaines opérations, vous devrez mettre en place une procédure de demande d'autorisation auprès de l'utilisateur. C'est le cas pour les transferts de données vers un tiers : pour lui permettre de prendre une décision éclairée, vous devez lui expliquer à quel organisme les informations seront transmises et pour quelle finalité.
Il en est de même concernant le croisement des informations avec des sources extérieures. De plus, si cette opération débouche sur le classement du profil de l'utilisateur, suivi de décisions spécifiques et automatiques le concernant, vous devez l'en informer et obtenir son consentement. Sachez qu'il a le droit à tout moment de contester les choix effectués.
Utiliser les PETS ou Privacy Enhancing Technologies
Enfin, pensez à inclure des PETS à votre plateforme dès sa conception. Ces outils s'intègrent directement à vos services en ligne et permettent aux utilisateurs de contrôler leurs données à tous les niveaux d'utilisation : anonymisation, gestion des partages, effacement des données superflues, etc.
Quels sont les impacts du Privacy by Design ?
Suivre le principe du Privacy by Design a de nombreux impacts positifs sur la gestion de votre projet. Vous vous assurez de la conformité de votre site avec le RGPD et donc évitez de nombreux problèmes en cas de non-respect de la vie privée de vos utilisateurs, comme les sanctions administrées par la Commission nationale de l'informatique et des libertés, plus connue sous le nom de la CNIL.
Le Privacy by Design a également un impact sur votre budget. En intégrant dès le départ les coûts liés à la mise en place des différents systèmes de gestion des données personnelles, vous évitez les dépenses ultérieures indispensables à l'ajout ou à la correction de mécanismes de protection. Cela coûte toujours moins cher d'intégrer les modules dès le départ que de les ajouter ensuite.
Enfin, une démarche Privacy by Design ne peut que recevoir l'approbation du public. Une plateforme qui ne propose aucun procédé clair de protection de la vie privée risque de ne pas rencontrer le succès escompté. Les internautes sont de plus en plus soucieux de la confidentialité de leurs activités en ligne. Selon l'INSEE, en 2021, 72 % d'entre eux se disaient préoccupés par l'enregistrement de leurs activités en ligne pour le ciblage publicitaire et 82 % d'entre eux limitaient la mise à disposition de leurs données personnelles en ligne(01).
Étant donné les enjeux importants liés aux données et à leur utilisation, vous avez tout intérêt à adopter le principe de Privacy by Design. Il facilite le respect des obligations légales décrites par le RGPD et permet de développer une image positive auprès du public. La transparence est aujourd'hui la clé de la confiance des clients et donc de la performance des entreprises.
Source : (01) INSEE
Crédit photo : sarayut