Le concept «Privacy by Design» (PbD) n’est pas une nouveauté, c’est une idée développée durant les années 1990 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada) Ann Cavoukian.
Le PbD s’articule autour de 7 principes fondamentaux:
- Des mesures proactives et préventives
- Une protection implicite et automatique
- Une intégration de la vie privée dans la conception des systèmes et au cœur des pratiques
- Une protection intégrale
- Une sécurité de bout en bout, durant toute la durée de la conservation des données
- Assurer la visibilité et la transparence
- Respecter la vie privée des utilisateurs (en privilégiant les intérêts des particuliers)
Les deux premiers principes sont importants : il s’agit de faire en sorte que la protection de la vie privée soit “all inclusive” et non une option parmi d’autres. L’utilisateur ne doit pas être obligé d’agir (en cochant des cases par exemple) pour activer sa protection, cette protection doit être activée par défaut. Du côté de l’organisation qui collecte les données, il s’agit d’abord de ne collecter que les informations dont elle a réellement besoin, et de les traiter avec précaution et loyauté.
Pour les entités qui collectent les données, le “Privacy by design” est un défi à la fois technique et organisationnel.
Il s’agit d’offrir aux clients la garantie d’un traitement des données qui soit à la fois parfaitement sûr et qui corresponde exactement à leur besoin, sans collecter plus de données que nécessaire. Cette garantie devra également être présente tout au long de la conservation et de l’utilisation des données. Le tout, en parfaite transparence sur les modalités et les finalités du traitement des données.
Tout système de collecte de données doit être assorti d’un moyen de vérifier, de modifier et de supprimer les données qu’on a enregistrées. Si des données sont partagées avec un tiers, l’utilisateur doit être averti et donner son consentement. L’utilisateur peut toujours refuser ce type de partage.
Exemple: le partage sur Facebook
Avec son milliard d’utilisateurs, Facebook est le premier réseau social mondial. De nombreux sites web essayent d’en profiter pour diffuser leurs contenus à un large public. A cet effet, des « boutons de partage » sont disposés sur un certain nombre de pages web. Certains boutons contiennent du code (javascript) qui enregistre les visiteurs de la page et envoie les données à Facebook (ou à des intermédiaires), même s’ils ne partagent pas la page en question. Cela signifie que si vous êtes connectés à votre compte Facebook et que vous visitez ce type de page, Facebook le saura.
Si l’on veut respecter le principe du Privacy by Design, les boutons de partage devraient être « inactifs » et n’envoyer aucune information à Facebook, sauf si le visiteur les utilise réellement pour partager la page en question. C’est le principe de la formule « Share with care » mise en place sur Securitymadein.lu: