Obligation d’assurer la protection des données dès la conception et par défaut
Obligation d’assurer la protection des données dès la conception et par défaut
APDP | 23 janvier 2025La nouvelle Loi introduit deux nouveaux concepts européens dans le corpus normatif monégasque : la protection des données dès la conception (privacy by design) et la protection des données par défaut (privacy by default).
Qu’est-ce que la protection des données dès la conception ?
En vertu de l’article 23 de la Loi, le responsable du traitement doit mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de protection élevée des données à caractère personnelles.
Ce principe de « protection des données dès la conception » s’applique tout au long du cycle de vie du traitement.
Son application implique que le responsable du traitement évalue l’impact potentiel du traitement sur les droits et libertés des personnes concernées et ce, de façon régulière.
Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent ainsi consister à :
- réduire au minimum le traitement des données à caractère personnel ;
- pseudonymiser les données à caractère personnel dès que possible ;
- garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel ;
- permettre à la personne concernée de contrôler le traitement des données ;
- permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou d’ améliorer ceux déjà en place.
Lesdites mesures doivent être prises au regard de :
- l’état des connaissances ;
- des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ;
- des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques.
Qu’est-ce que la protection des données par défaut ?
L’article 23 de la Loi prévoit que le responsable du traitement met également en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
Cela s’applique à :
- la quantité de données à caractère personnel collectées ;
- l’étendue de leur traitement ;
- leur durée de conservation ;
- leur accessibilité.
En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.