From law to practice: privacy by design in health tech | Agoria

From law to practice: privacy by design in health tech

Image
Publié le 29/07/21 par Nele Laus
Les utilisateurs sont censés devoir juger par eux-mêmes si une application telle que Facebook ou Fitbit traite correctement leurs données. Or, ces attentes vis-à-vis de l'utilisateur ne sont-elles pas excessives ? Ces applications ne devraient-elles pas elles-mêmes accorder suffisamment d'attention à la protection de la vie privée ? En réalité, si : ce principe est même inscrit dans la législation et porte le nom de « protection de la vie privée dès la conception ».

La notion de protection de la vie privée dès la conception est une obligation souvent négligée. Ce fut notamment le cas lorsque, à la fin du mois de mai 2018, tout le monde se concentrait sur toutes les obligations tangibles imposées par le GDPR : un registre, des ajustements aux avis de confidentialité, des contrats avec les sous-traitants, etc. 

Maintenant que le calme est revenu et que la plupart des organisations comprennent et (espérons-le) ont rempli les obligations de base, l'attention se déplace lentement vers les obligations qui sont moins faciles à mettre en place. Il s'agit là d'obligations qui contraignent les organisations à adapter leurs processus, à former leur personnel et à considérer la protection de la vie privée non pas comme une simple liste de points à traiter, mais comme une composante à part entière des activités de l'entreprise. On en vient alors à des notions telles que les analyses d'impact relatives à la protection des données (AIPD) et la protection de la vie privée dès la conception. 

La protection de la vie privée dès la conception, qui couvre un champ d'application légèrement plus large que le concept du RGPD de « protection des données dès la conception », désigne l'ensemble des mesures qu'une organisation met en œuvre pour s'assurer que la protection de la vie privée est intégrée dans tous les processus de traitement des données à caractère personnel. Ces mesures peuvent être d'ordre organisationnel, technique ou contractuel. 

Application pratique des principes de base de la protection des données

Pour faire simple, la protection de la vie privée dès la conception correspond à l'application des principes de base en matière de traitement des données à caractère personnel, tels que la transparence quant à l'utilisation des données, le fait de ne pas traiter plus de données que nécessaire, de ne pas les conserver plus longtemps que nécessaire, d'en assurer la sécurité, etc. Il s'agit toutefois de principes génériques, si bien que l'interprétation concrète de la notion de « protection de la vie privée dès la conception » diffère selon les organisations. En effet, une entreprise qui développe des applications mobiles destinées à la health tech devra prendre des mesures totalement différentes d'une PME qui possède une boutique en ligne. Le contexte, la nature et la portée du traitement des données à caractère personnel détermineront les mesures à mettre en place pour appliquer correctement le principe de protection de la vie privée dès la conception ainsi que leur ampleur. Plus les données sont sensibles ou nombreuses, plus les exigences seront élevées.

La protection de la vie privée dès la conception comme concept global dans le traitement des données à caractère personnel

  • La protection de la vie privée dès la conception se retrouve dans pratiquement toutes les facettes du traitement des données à caractère personnel : la déclaration de confidentialité d'une application destinée aux enfants doit être rédigée dans un langage approprié et accessible.
  • Sur un site web, le bouton « refuser » relatif aux cookies devrait être aussi facile à sélectionner, notamment par rapport à sa taille et à sa couleur, que le bouton « accepter ». 
  • Les API doivent s'authentifier suffisamment et ne mettre à disposition que les informations strictement nécessaires ;
  • La journalisation doit permettre de savoir ce que chaque utilisateur a fait des données à caractère personnel et à quel moment ;
  • Une application doit fournir un « tableau de bord de la vie privée » où l'utilisateur peut voir exactement quelles données sont traitées et où il peut exercer des droits tels que le droit d'accès, le droit de copie ou le droit à l'effacement. 

Ce ne sont là que quelques exemples. Si aucune liste n'a été établie pour appliquer le principe de protection de la vie privée dès la conception, il existe des lignes directrices qui permettent de définir ce que celui-ci implique pour une organisation.

Une vue d'ensemble de ces lignes directrices et de nombreux autres exemples de bonnes (et mauvaises) pratiques en matière de protection de la vie privée dès la conception vous seront proposés lors de la session du 3 août : « From law to practice: privacy by design in health tech ». Bart van Buitenen est formateur au Data Protection Institute, DPO chez Sentiance et directeur du centre d'expertise Privacy & Security chez Cranium. Il anime également le podcast « dasprive ». Il abordera de manière très concrète l'évolution de la législation et expliquera comment y faire face de manière pratique dans le domaine de la health tech.  Inscrivez-vous dès maintenant !
Cet article était-il utile ?

Sujets qui pourraient vous intéresser