Ce module est une ressource pour les enseignants  

 

Application des lois sur la protection de la vie privée et des données

 

En règle générale, les obstacles auxquels sont confrontés les pays pour la bonne application des lois sur la protection des données comprennent le manque de moyens financiers, les difficultés à les appliquer de manière adéquate, comme par exemple, en raison de ressources humaines et techniques limitées, des infrastructures TIC qui ne répondent pas aux normes, et l'incapacité ou la réticence à traiter les demandes transfrontalières de données (UCTAD, 2016, p. 9).  

L'application des principes et des lois sur la protection de la vie privée et des données varie entre les secteurs public et privé, d'un pays à l'autre et au sein d'un même pays. À titre d’exemple, la mise en œuvre du RGPD répond à un souci d’harmoniser et de renforcer les pouvoirs des autorités compétentes et de garantir le respect de la loi dans les faits.  En plus des lois sur la protection des données et pour en renforcer l’impact, des organisations internationales et régionales ont élaboré et mis en œuvre des règles en la matière.Par exemple, la Coopération économique Asie-Pacifique (APEC) a créé le Cadre de protection de la vie privée, qui comprend des principes et des lignes directrices pour la protection des données tout en évitant d’entraver la circulation des informations entre les membres, et les Règles transfrontalières de protection de la vie privée, un mécanisme d'autorégulation facultatif, qui fixe des normes de protection pour les échanges transfrontaliers de données entre les membres. Il est important de noter que les législations nationales en matière de protection des données et de la vie privée priment sur ces règles.  

Le saviez-vous ?

L’Association internationale des professionnels de la protection de la vie privée (IAPP) propose en ligne un tableau qui met en évidence les similitudes et les différences entre le cadre de protection de la vie privée de l'APEC et le RGPD, notamment sur les points suivants : le but recherché, le champ d'application matériel et territorial, les informations personnelles, les responsables du traitement des données/maîtres de fichiers, les sous-traitants/préposés au traitement de données, les informations accessibles au public, les variations autorisées pour les pays membres (dérogations), le principe de prévention des préjudices, la notification, la limitation de la collecte, la limitation de l'utilisation, le choix et le consentement, l'intégrité des données, les garanties de sécurité, l'accès et la correction, la responsabilité, le transfert de données personnelles à une autre personne ou vers un autre pays, la définition de la violation, la notification et la réduction de l’impact de la violation.

Les autorités compétentes peuvent assurer l'application de ces règles, mais les technologies peuvent également y contribuer. Les technologies renforçant la protection de la vie privée, dont le but est de protéger et de garantir le droit à la vie privée des personnes. Ceci explique, d’ailleurs, pourquoi ce type de technologies peut être utilisé pour assurer la mise en œuvre et le respect des lois sur la protection des données. Leur usage vise principalement à garantir la confidentialité, c'est-à-dire que les informations sont protégées et que seuls les utilisateurs autorisés peuvent y accéder, et l'intégrité des données, c’est-à-dire qu’elles n'ont pas été modifiées et sont bien ce qu'elles prétendent être. Un exemple de technologie permettant de renforcer la protection de la vie privée est le cryptage. Un autre exemple est la gestion de l'identité, qui désigne le processus d'authentification de l’identité des utilisateurs, l'association de divers privilèges à cette identité et l'octroi aux utilisateurs d'un accès fondé sur ces privilèges. La gestion de l’identité renforce les principes de sécurité et de proportionnalité de la protection des données en limitant l’accès aux données et leur utilisation.

La législation sur la protection des données peut également être appliquée par le biais de la protection des données dès la conception. L'article 25 du RGPD exige la « protection des données dès la conception », en vertu de laquelle les responsables du traitement des données et les préposés au traitement de données intègrent des technologies renforçant la protection de la vie privée et d'autres mesures de protection de la vie privée dans la conception des systèmes et des technologies. Ces caractéristiques de conception requièrent des contrôles et des politiques techniques et organisationnelles pour la sécurisation des données à caractère personnel et une mise en place de mesures de sécurité destinées à garantir la confidentialité, l'intégrité et la disponibilité, c'est-à-dire l'accessibilité sur demande, des systèmes, réseaux, services et données (par exemple, les contrôles d'accès, le cryptage, les pare-feu, la surveillance de l'utilisation des ordinateurs et les politiques de sécurité de l'information, abordés dans le Module 9, intitulé «  Cybersécurité et prévention de la cybercriminalité : applications et mesures pratiques ». 

Une autre mesure de protection des données dès la conception (on parle également de protection de la vie privée dès la conception) consiste en la dissimulation des informations identifiantes, par le biais de l'anonymisation et de la pseudonymisation. Aux termes de l'article 4(5) du RGPD, « pseudonymisation » désigne « le traitement de données à caractère personnel de sorte qu’elles ne puissent plus être attribuées à une personne spécifique sans l'utilisation d'informations supplémentaires, étant entendu que ces informations supplémentaires sont conservées séparément et font l'objet de mesures techniques et organisationnelles destinées à garantir que les données en question ne sont pas attribuées à une personne physique identifiée ou identifiable ». Il y a pseudonymisation lorsque les données identifiantes dans un ensemble de données sont remplacées par des identifiants artificiels. Il s'agit d'une forme de masquage des données qui permet d’en protéger la confidentialité afin d'empêcher l'identification de la personne concernée. A ces mesures de protection des données dès la conception peuvent venir s’ajouter des mesures de protection des données par défaut. Un exemple en est la pratique consistant à limiter le traitement aux données à caractère personnel nécessaires pour atteindre l'objectif déclaré de l'activité de traitement, dans le respect du principe de minimisation des données et de celui de la limitation des finalités).

 
Section suivante : Conclusion
Haut de page