Article 25 du RGPD

Protection des données dès la conception et protection des données par défaut

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 1 - obligations générales »  article 25

  1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
  2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
  3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Article 25 du RGPD : Ce qu'il faut comprendre

L’article 25 du RGPD concerne la protection des données dès la conception et par défaut. Cela signifie que, dès qu’une entreprise ou une organisation commence à réfléchir à la manière de traiter des données personnelles, elle doit mettre en place des mesures techniques et organisationnelles pour garantir la protection de ces données. Ces mesures doivent tenir compte de l’état des connaissances, des coûts, et des risques pour les droits des personnes.

Exemple de mesures

Parmi ces mesures, on trouve des techniques comme la pseudonymisation (remplacer les informations personnelles par des identifiants non directement liés à la personne) et la minimisation des données (collecter uniquement ce qui est strictement nécessaire pour un traitement spécifique). Le but est d’assurer que les données sont bien protégées à toutes les étapes : dès la planification et pendant le traitement.

Traitement des données par défaut

Le responsable du traitement doit aussi veiller à ce que, par défaut, seules les données nécessaires soient collectées et traitées. Cela concerne :

  • La quantité de données collectées.
  • L’étendue de leur utilisation.
  • La durée de conservation des données.
  • Leur accessibilité : par défaut, les données ne doivent pas être accessibles à n’importe qui sans l’intervention de la personne concernée.

Certification

Une entreprise peut utiliser une certification approuvée (comme un label de conformité en matière de protection des données) pour prouver qu’elle respecte bien ces obligations.

Article 25 du RGPD – Exemples concrets

  • Exemple 1 : Conception d’une application mobile
    Lors de la création d’une application mobile, les développeurs décident que l’application ne collectera que les informations strictement nécessaires (comme l’adresse e-mail) pour créer un compte. Ils mettent en place des mécanismes de pseudonymisation pour protéger les informations d’identification des utilisateurs.
  • Exemple 2 : Politique de conservation des données
    Une entreprise décide que les informations personnelles des clients ne seront conservées que pour la durée nécessaire à la finalité prévue (par exemple, les données liées à une commande en ligne ne sont conservées que le temps nécessaire à la livraison et à la gestion du service après-vente).
  • Exemple 3 : Accès limité aux données
    Une plateforme en ligne garantit que, par défaut, les informations personnelles des utilisateurs ne sont accessibles qu’aux personnes habilitées (par exemple, les employés qui en ont besoin pour leur travail) et ne sont pas partagées publiquement sans consentement.

← Article 24 – Responsabilité du responsable du traitement
Article 26 – Responsables conjoints du traitement →

Les articles du RGPD mentionnant l'article 25

Votre site internet est-il en conformité vis à vis des données personnelles ?

Les sites internet doivent être conçus pour garantir la protection des données personnelles par défaut.

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit