Privacy By Design dans les systèmes d’information; Les sept principes du PbD.

Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par Docteure, alors, Commissaire à la vie privée de l’Ontario.

Troisième et dernière partie.  Voir notre précédent article: Privacy By Design dans les systèmes d’information; La démarche de l’ICO (03 septembre 2016).

Arrimage des recommandations du rapport de l’ICO aux principes de Privacy By Design.

Les recommandations faites par l’ICO dans le but d’assurer l’implémentation de Privacy by design dans les systèmes  ne se départissent pas de la trilogie des applications supportée  par le concept qui sont :

  • Technologies de l’Information;
  • Pratiques d’affaires responsable;
  • Conception physique.

Faye-Enide Ombre

En effet, l’idée même de l’instauration de l’écosystème du Privacy By Design tente d’embrasser l’ensemble des applications visées par le concept pour la mise en place de la culture du respect de la vie privée qui doit traverser l’organisation dans tous ses compartiments.

Et comme il est développé sur le site de Privacy By Design, nous rappelons ci-après les sept principes qui s’articulent autour de cette trilogie d’applications, et qui sont :

 

  1. Proactivité
  2. Caractère implicite
  3. Intégration
  4. Somme positive
  5. Période de conservation complète
  6. Visibilité et transparence
  7. Respect des utilisateurs
  1. Proactivité

Prendre des mesures proactives et non réactives; des mesures préventives et non correctives.

La protection intégrée de la vie privée (PIVP) se caractérise par des mesures proactives et non réactives. Elle consiste à prévoir et à prévenir les incidents d’atteinte à la vie privée avant qu’ils se produisent. En effet, la PIVP n’attend pas que des risques pour la vie privée se concrétisent, et elle ne propose aucune solution pour résoudre les cas d’atteinte à la vie privée qui se sont déjà produits. Elle vise plutôt à les prévenir. Bref, la protection intégrée de la vie privée vient avant et non après de tels incidents.

  1. Caractère implicite

Assurer la protection implicite de la vie privée.

On peut être sûr d’une chose : la protection intégrée de la vie privée est implicite. Elle vise à procurer le maximum de vie privée en veillant à ce que les renseignements personnels soient systématiquement protégés au sein des systèmes informatiques ou dans le cadre des pratiques internes. Donc, la vie privée d’un particulier est protégée même si ce dernier ne pose aucun geste, car la protection de la vie privée est intégrée dans le système, implicitement.

  1. Intégration

Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques.

La protection intégrée de la vie privée, comme son nom le suggère, est intégrée dans la conception et l’architecture des systèmes informatiques et des pratiques des organismes; elle n’y est pas greffée après coup. La protection de la vie privée devient donc un élément essentiel des fonctionnalités de base. Elle fait partie intégrante du système, sans porter atteinte à ses fonctions.

  1. Somme positive

Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle.

La protection intégrée de la vie privée vise à tenir compte de tous les intérêts et objectifs légitimes en cause selon un paradigme à somme positive et non selon une approche périmée à somme nulle, qui nécessite des compromis inutiles. La protection intégrée de la vie privée évite ces fausses dichotomies, par exemple celle qui oppose la protection de la vie privée à la sécurité, en démontrant qu’il est vraiment possible de réaliser ces deux objectifs à la fois.

  1. Période de conservation complète

Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements. La protection intégrée de la vie privée, lorsqu’elle est intégrée dans le système avant que l’on ne commence à recueillir les renseignements qu’il contiendra, persiste de façon sécurisée pendant toute la période de conservation de ces renseignements, du début jusqu’à la fin. Cela permet de faire en sorte qu’à la fin du processus, toutes les données sont détruites de façon sécurisée et en temps opportun. Ainsi, la protection intégrée de la vie privée assure une gestion intégrale et de bout en bout des renseignements pendant toute leur période de conservation.

  1. Visibilité et transparence

Assurer la visibilité et la transparence

Grâce à la protection intégrée de la vie privée, tous les intervenants seront assurés que sans égard aux pratiques ou aux technologies employées, le système fonctionne conformément aux promesses et aux objectifs établis, sous réserve d’une vérification indépendante. Les éléments et le fonctionnement du système demeurent visibles et transparents, tant pour les utilisateurs que pour les fournisseurs. La vérification permet d’établir un climat de confiance.

  1. Respect des utilisateurs

Respecter la vie privée des utilisateurs

Avant tout, la protection intégrée de la vie privée oblige les concepteurs et utilisateurs à privilégier les intérêts des particuliers en prévoyant notamment des mesures strictes et implicites de protection de la vie privée, des exigences appropriées quant aux avis et des fonctions habilitantes et conviviales, axées sur l’utilisateur.

Bien accueilli par la profession, le concept de Privacy By Design a connu ces dernières années des avancées significatives au point d’être en voie devenir un standard de fait.  La prochaine étape pour son plein développement est de s’approprier ses prescrits en travaillant à instaurer dans les organisations son écosystème, garant de cette souhaitable culture de la protection de la vie privée notamment par la mise en place de standards internationalement reconnus.  Alors comme pour la sécurité, le respect de la vie privée sera considéré comme un facteur contribuant, dans un environnement de confiance, à la réussite des objectifs de l’entreprise.

Author: Lyonel Vallès, CISM, CISA, CRISC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *