Privacy By Design dans les systèmes d’information

Privacy By Design

Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par la Docteure Ann  Cavoukian, alors Commissaire à la vie privée de l’Ontario.

Première partie.

L’idée générale du concept de  Privacy by Design est que la protection des renseignements personnels fasse partie de la culture des personnes et des organisations.  La protection des renseignements personnels doit ainsi être vue de façon proactive et considérée comme faisant partie intrinsèque des systèmes.  Elle intégrera ainsi les organisations et les entreprises de façon transversale.

Le rapport de l’Information Commissioner’s Office (ICO) du Royaume Uni paru en novembre 2008 préconise la conception de tout système d’information en tenant compte de la protection de la vie privée,  par le Privacy By Design, tout au long du cycle de vie du système. L’ICO est un organisme public indépendant britannique créé pour promouvoir l’accès aux informations officielles et protéger les données personnelles.

L’idée maîtresse de l’intégration du Privacy by Design dans les organisations passe d’abord par l’instauration d’une culture de respect et la protection de la vie privée dans l’organisation.  En s’appuyant sur les principes édictés par Docteure Ann Cavoukian, et dans le cadre d’une bonne gestion des risques liés à la vie privée, l’implémentation du Privacy By Design se réalisera en suivant les recommandations faites par l’Information Commissioner’s Office (ICO).

Nécessité de la prise en compte  et de l’implémentation de Privacy by Design dès le départ de tout projet de l’organisation

La preuve étant faite que la protection de la vie privée doit être pour les organisations non plus uniquement unFaye-Enide Ombrefacteur de mise en conformité mais un réel besoin d’affaires, il importe de tenter de comprendre comment on peut rendre concrète l’implémentation effective de la protection de la vie privée dans les systèmes utilisés par les organisations tant publiques que privées.

L’Information Commissioner’s Office, dans son rapport a émis diverses recommandations à mettre en place dans le but de rendre réelle l’implémentation de Privacy By Design en vue de la protection intégrée du respect de la vie privée dans les systèmes.

L’écosystème du Privacy By Design

Tout comme l’a confirmé le constat de  la  Docteure Cavoukian, le succès de l’implémentation de Privacy by design dépend de la mise en place d’un écosystème favorisant  la culture de la protection de la vie privée. Il s’agit d’une attitude qui portera toutes les parties prenantes,  à tous les niveaux de l’organisation à s’intégrer dans une dynamique de respect et de protection de la vie privée.  Cela établira un environnement qui encouragera les décideurs à investir dans des démarches et des technologies qui promeuvent le respect de la vie privée à travers toute l’organisation.

Selon le rapport,  un tel écosystème n’existe pas à l’heure actuelle et les besoins de confidentialité ne font souvent pas partie du cycle de vie des systèmes. Il s’avère donc nécessaire de réfléchir aux nouveaux moyens permettant la prise en compte et l’implémentation des exigences de protection de la vie privée dès les premières phases de la vie de tout projet de l’organisation.  L’écosystème du privacy by design favoriserait le dialogue entre les gouvernements, les entreprises et les fournisseurs de technologies pour que des normes de protection de la vie privée soit mises en place et respectées dans la conception des applications et dans les dispositifs entrant dans le fonctionnement des systèmes.

Une bonne approche de l’intégration du respect de la vie privée dans les systèmes  impliquera aussi, selon l’ICO, la destruction de certaines barrières existantes  dans la pratique de la mise en place des systèmes d’information.  Ces barrières concernent d’après le rapport les points suivants :

  • l’incapacité pour la haute direction de reconnaître la protection de la vie privée comme un enjeu de très grand intérêt pour l’organisation ;
  • le manque d’intérêt pour l’intégration  du concept de respect de la vie privée dans le cycle de vie des systèmes ;
  • le conflit d’intérêt entre le besoin de communication des informations et la protection de la vie privée ;
  • l’absence de normes internationales sur la gestion de la vie privée.

De plus, le caractère immature des  Privacy Enhancing Technologies (PET’s) constitue aussi un frein à l’acceptation de l’intégration de la protection de la vie privée dans le développement des systèmes.  Ajouté à cela, il faudra penser au renforcement des moyens d’actions et les capacités de Commissariats à la vie privée à l’échelle des pays.  Rappelons que les PET’s sont un ensemble d’outils technologiques incorporés dans les systèmes d’information dans le but de permettre la protection des informations relatives à la vie privée.

Le rapport de l’ICO tente donc une approche qui préconise l’intégration de Privacy By Design en présentant le respect de la vie privée comme partie intégrante du cycle de vie des applications. De même, un exercice de gestion des risques relatifs à la vie privée devra être mené par l’organisation pour qu’elle soit consciente de son degré d’exposition et des remèdes qu’elle aurait à y apporter.  C’est ainsi que l’ICO prévoit dans le processus d’implémentation du Privacy By Design le Privacy Impact Assessment (PIA).

Le Privacy Impact Assessment (PIA)

Le Privacy Impact Assessment (PIA) est un processus utilisé pour évaluer les risques liés à la vie privée dans les systèmes d’information. C’est une approche qui s’applique tant au secteur privé que public. Il   évalue les systèmes et la technologie et ses caractéristiques relativement à la vie privée.  Centré sur les intérêts de la personne et prenant en compte leurs attentes, le PIA identifie  les risques et propose des recommandations en vue de leur atténuation. Pour asseoir ses recommandations, le PIA évalue clairement les fonctionnalités de confidentialité et de sécurité des systèmes. De plus il permet une évaluation exhaustive des contrôles en place, de la gouvernance des organisations et de leur degré de responsabilisation eu égard à la protection des renseignements personnels.

L’instauration dans les organisations d’une culture de respect de la vie privée sera la résultante de la mise en place l’écosystème du Privacy By Design. De même, la réalisation du PIA, et surtout la bonne gestion des risques liés à la protection des données pourraient permettre la mise en place  d’un environnement de confiance en ce qui concerne la protection de la vie privée.  Cela contribuera à promouvoir chez ces organisations  le développement de systèmes d’information bien conçus, répondant à l’esprit du Privacy by Design par opposition à ceux qui n’en tiennent pas du tout compte dans la conception de leurs produits.

S’inspirer de la réussite de l’implémentation du Security by design

Pour bien arriver à son intégration dans les systèmes, Privacy By Design doit s’inspirer du  succès  remporté par la Sécurité dans le domaine des systèmes d’information.  En effet la pratique de ces dernières années accorde une place très importante  à la sécurité dans les systèmes.  Cela est notamment dû à la reconnaissance de la profession que la sécurité  est importante pour l’atteinte des objectifs des organisations. De plus,  il a été mis en évidence les risques de sécurité qui menacent l’organisation et les efforts à consentir pour les atténuer. Cela a permis le développement de standards de gestion de la sécurité, le développement d’un vocabulaire de la sécurité ainsi qu’une plus grande sensibilisation de la haute direction à la question de la sécurité.

Privacy By Design pourrait donc en apprenant des succès du domaine de la sécurité mettre en place ses propres méthodologies pour permettre aux gouvernements et aux entreprises de favoriser l’implémentation du respect de la vie privée dans le processus de la mise en place des systèmes.  Les risques concernant la vie privée devront aussi être révélés, et les moyens à mettre en œuvre pour les contrôler identifiés. Et c’est le rôle qu’est appelé à jouer la Privacy Impact Assessment, l’une des étapes importantes de l’intégration du Privacy By Design comme nous l’avons vu précédemment.

A suivre. Voir la deuxième partie : Privacy By Design dans les systèmes d’information – La démarche de l’ICO.

Author: Lyonel Vallès, CISM, CISA, CRISC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *