Privacy by design / by default – Inverser la logique de protection des données en faveur des utilisateurs

J’ai déposé cette semaine au Conseil national deux postulats demandant au Conseil fédéral d’étudier l’opportunité d’inscrire dans la loi sur la protection des données, qui devrait être révisée à partir de l’an prochain, les concepts de protection des données dès la conception (privacy by design) et de protection des données par défaut (privacy by default). Il s’agit d’inverser la logique qui prévaut actuellement et de donner la priorité à la de protection des données. Le plus haut niveau de protection possible doit être garanti par défaut et non plus sur demande des utilisateurs comme c’est souvent le cas aujourd’hui. Et lorsqu’une nouvelle technologie est créée, la question de sa compatibilité avec la protection de la sphère privée doit se poser dès la conception et pas seulement une fois les problèmes concrets apparaissent.

Privacy by design

Le concept de la « protection de la vie privée dès la conception » (privacy by design) a été développé à l’initiative de la préposée à la protection des données de l’Etat d’Ontario au Canada, Ann Cavoukian, (cf. Operationalizing Privacy by Design: A Guide to Implementing Strong Privacy Practices, Toronto 2012): Chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, même si elle n’as pas été prévue à l’origine, le plus haut niveau possible de protection des données. Cette idée a notamment été plébiscitée par une résolution de la 32ème conférence internationale des préposés à la protection des données les 27-29 octobre 2010, qui recommande aux Etats d’intégrer ce concept à leur législation.

Il s’agit d’une réponse à la multiplication des traitements de données personnelles par des objets et technologies de tous les jours, qui récoltent toujours plus de données personnelles et qui sont toujours plus interconnectés. Il s’agit aussi d’une réponse aux stratégies de collecte et d’utilisation de données personnelles de certaines entreprises, qui tentent de décourager les particulier de protéger au mieux leurs données personnelles grâce à des procédures longues, compliquées et surtout changeant fréquemment.

La protection de la vie privée dès la conception vise à agir de manière proactive et préventive, avant qu’une nouvelle technologie, parce qu’elle facilite le traitement de données personnelles, n’entraîne de nombreuses violations de la protection des données. Un cas d’application récent serait la tentative d’Apple d’introduire un scanner à empreintes digitales sur ses appareils. En fonction de son utilisation, il pourrait s’agir d’une grave intrusion dans la sphère intime, mais il ne sera possible de s’en assurer qu’à l’aune de cas concert. Avec l’application du privacy by design, cette innovation technologique devrait être conçue à l’origine de telle manière à ce la sphère privée soit protégée.

Privacy by default

Grâce à la protection de la vie privée par défaut (privacy by default), quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible. La législation sur la protection des données doit obliger chaque personne ou entreprise traitant des données personnelles à garantir par défaut le plus haut niveau possible de protection des données.

Facebook ne pourra plus décourager ses utilisateurs de se protéger

De nombreuses entreprises collectant des données personnelles, notamment les réseaux sociaux, ne prévoient une protection satisfaisante des données personnelles qu’au prix de procédures longues et alambiquées. En outre, ils modifient fréquemment leurs conditions générales, forçant les utilisateurs à modifier un à un leurs paramètres de confidentialité, toujours au prix de démarches interminables. Qui veut bénéficier du plus haut niveau de possible de protection doit donc fréquemment adapter lui-même ses paramètres de confidentialité, raison pour laquelle de nombreux utilisateurs, de guerre lasse, finissent par renoncer. Facebook est notamment passé maître dans ces stratégies qui visent à décourager les utilisateurs de protéger leurs données personnelles.

Inverser la logique de protection en faveur des utilisateurs

La protection des données par défaut, proposée par la commissaire européenne Viviane Reding, renverse cette situation à l’avantage des consommateurs: Quiconque traite des données personnelles doit garantir le plus haut niveau de protection par défaut. Le but est d’éviter une exploitation abusive des données mais également une réutilisation des données à des fins autres que celles pour lesquelles une personne avait initialement donné son consentement.

Si un utilisateur s’accommode d’un niveau de protection moindre, c’est à lui de faire la démarche autorisant chaque traitement de données autre que celui pour lequel il a donné son consentement initial. Si les conditions générales ou un autre accord prévoient une utilisation des données personnelles qui requiert l’assentiment de la personne concernée, cet accord est présumé refusé à moins d’avoir été donné explicitement et au cas par cas.

La protection de la vie privée par défaut se distingue du privacy by design en ce sens qu’il ne concerne que le consentement au traitement des données.

4 réflexions sur « Privacy by design / by default – Inverser la logique de protection des données en faveur des utilisateurs »

  1. Ping : La saga de la page facebook (1/2; carnet de campagne, épisode 1) | Jean Christophe Schwaab

  2. Oui, c’est une proposition interéssante qui va dans le sens d’une meilleure protection des données personnelles. Mais le constat est là : les GAFA et autres entreprises qui ont construit leur modèle économique sur une survie de leur business grâce aux données personnelles, trouveront toujours les failles contenues dans tout dispositif réglementaire.
    Il faut changer la donne : interdire l’utilisation des données personnelles par défaut sauf pour ceux qui y consentiront et ceux-là, devront être rémunérés. le mot d’ordre : monétiser l’usage des données personnelles et permettre une meilleure distribution du « gateau » !

    • Bonjour, merci pour ce commentaire!

      Je serais juste un peu prudent avec la monétisation des données personnelles: il faut faire attention à ce qu’on ne crée pas un droit de propriété à l’instar de la propriété mobilière. Car quiconque se sépare de quelque chose dont il est propriétaire… s’en sépare définitivement et cède tous ses droits à l’acheteur. En matière de données personnelles, cela pourrait s’avérer problématique!

Répondre à Amrani Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *