L’approche privacy by design prévue par le RGPD

L’approche privacy by design n’est pas d’origine européenne, mais canadienne. Elle a cependant été reprise dans le RGPD (I). Sa mise en œuvre dans l’application de l’open data peut être une piste de réflexion quant à la protection des données judiciaires (II).

I. Définition

Il faut comprendre ce qu’est la privacy by design (A) avant d’en voir les différentes techniques aboutissant à son respect (B).

A. Généralités

L’approche privacy by design (PbD) est développée dès la fin des années 1990, par Ann Cavoukian, Commissaire à l’information et à la protection de la vie privée de

l’Ontario178_{. L’idée est d’imposer que chaque nouvelle technologie destinée à traiter les}

renseignements personnels doit être conçue de manière à offrir un haut niveau de protection des données. Cette approche est définie à l’article 25 alinéa 1 du RGPD, article s’intitulant « Protection des données dès la conception et protection des données par défaut ». Il dispose :

« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré́ de probabilité́ et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures

techniques et organisationnelles appropriées, telles que la

pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée » (soulignement rajouté).

Ainsi, il s’agit de penser à la protection des renseignements personnels dès la conception, et donc d’intervenir en amont pour limiter les risques de dommages liés à l’exploitation de données à caractère personnel, sans en même temps empêcher cette exploitation.

L’article 25 alinéa 2 du Règlement Général sur la Protection des Données179 _prévoit

que :

« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées (…) » (soulignement rajouté). Cet alinéa consacre le privacy by default, et cela s’applique à la quantité de données à caractère personnel collectées, l’étendue de leur traitement, leur durée de conservation et leur accessibilité.

178 _{Ann Cavoukian, « Privacy by Design : The 7 Foundational Principles », 2009 (Janvier 2011),} Information and Privacy Commissionner of Ontario, en ligne : <https://www.ipc.on.ca/wp-

content/uploads/resources/7foundationalprinciples.pdf>.

179 _{Article 25 alinéa 1 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 Avril}

2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère

personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

B. Les techniques

Les principes directeurs de l’approche privacy by design développés par Ann Cavoukian sont au nombre de sept : (1) proactivité, afin de prévenir les risques d'atteinte à la vie privée plutôt que d'essayer d'en corriger les conséquences a posteriori ; (2) protection par défaut (privacy by default), qui consiste à protéger la vie privée de l'individu de manière automatique, même sans action préalable de sa part ; (3) protection par construction, intégrant le respect de la vie privée dès la conception du système plutôt que d'apporter des correctifs a un système conçu sans prise en compte de cette dimension; (4) une protection optimale et intégrale ; (5) une sécurité assurée tout au long de la conservation des données ; (6) visibilité et transparence, permettant de contrôler l'exactitude des informations stockées ; et enfin (7) souveraineté de l'individu, reconnu comme le chef d'orchestre autour duquel s'organisent tous les échanges d'information dans ce qu'il convient d'appeler son éco-système de données personnelles180_.

Ces principes sont simples à comprendre à première lecture et semblent absolument judicieux. Cependant, leur mise en œuvre effective nécessite des mécanismes techniques, pas toujours faciles à maîtriser. On peut citer la minimisation (réduction de la collecte de données au strict minimum requis pour l'accomplissement d'un objectif),

l'anonymisation ou la pseudonymisation (définies précédemment), la destruction physique de données (qui doit être irréversible et effective quel que soit le nombre de

copies effectuées de cette donnée), etc.

II. Application dans le cadre de l’open data

Dans ce paragraphe, il s’agira d’étudier la possible application de la privacy by design dans le cadre de l’open data (A) ainsi que ses limites techniques (B).

180 _{Philippe Pucheral, Alain Rallet, Fabrice Rochelandet, Célia Zolynski, « La Privacy by design : une}

fausse bonne solution aux problèmes de protection des données personnelles soulevés par l’Open data et les objets connectés ? ». Legicom, Victoires Éditions, 2016, Open data : une révolution en marche, pp.89- 99 10.3917/legi.056.0089, Hal-01427983.

A. Hypothèse de la privacy by design dans le cadre de l’open data

Il peut sembler opportun de s’intéresser aux apports de la privacy by design : pourquoi ne pas envisager d’appliquer, dès la création des documents, un système pour évacuer le maximum de données personnelles qui ne participent pas davantage à la transparence de la justice, et qui ne seraient pas nécessaires de trouver en ligne. Évidemment, le débat sur ce principe de finalité est constamment en évolution, et il s’agira de mener une analyse approfondie sur la limitation au principe de la transparence de la justice face à la vie privée des personnes.

La privacy by design dans le cadre de l’open data peut être un mode de régulation séduisant puisqu'il intègre la protection des données à caractère personnel dès la conception des outils de collecte, de traitement ou d'exploitation des données. On peut comparer cette technique à une sorte de filtre, à la charge du fabriquant, ou même à la charge du diffuseur de la base de données. La PbD s’inscrit dans une logique d’analyse de risque, participant à la consécration de l’accountability, que l’on a déjà évoqué en première partie. Cela signifie qu’il y a obligation de rendre des comptes et de justifier des garanties mises en œuvre pour prévenir tout risque ou y remédier en cas de survenance (par exemple en cas de faille de sécurité). Alors comment la PbD peut venir en soutien pour empêcher que les données transmises par les administrations aux exploitants puissent être réutilisées de manière préjudiciable pour les individus181 _?

Dans le cas de l’open data judiciaire, on pourrait mettre au point une technologie permettant d’élaborer des décisions judiciaires directement sans les données à caractère personnel. La décision pourrait subir une sorte de filtre avant même que la décision soit dans le format électronique nécessaire à la mise à disposition, et ainsi l’intervention pour la protection des données à caractère personnel se déroulerait en amont et non pas en aval ; Cette hypothèse ne fonctionnerait évidemment que pour les décisions à venir, et non pas celles qui ont déjà été rendues, pour lesquelles un système de pseudonymisation serait plus approprié.

181 _{Loi n°78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre}

l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal modifiée par l’ordonnance n°2015-1341 du 23 octobre 2015 transposant la directive 2013/37, article 13.

Cependant, nombreux sont ceux qui constatent l’efficacité limitée des techniques de la PbD182 _{(en plus des remarques du précédent chapitre sur la pseudonymisation).}

B. Limites techniques

La mise en œuvre pratique se heurte à une première difficulté : traduire les exigences et les idées, souvent encore assez générales, en concepts algorithmiques précis. Il en résulte une réelle difficulté à estimer si une solution technique répond en pratique à un principe de PbD et, dans l’affirmative, dans quelle proportion.

Nous avons vu que la mise à disposition prévue par le décret relatif à l’open data français ne peut se faire en quantité illimitée183_{. Et l’on pourrait penser que justement}

cela respecte le principe de minimisation de collecte de données, mais quid des objectifs du Big data ? En effet, le Big data change la logique : c’est en ayant un maximum de données, que l’on peut dégager une nouvelle connaissance. Appliqué à notre sujet d’étude, on sait que c’est en ayant un maximum de mise à disposition de données et donc de décisions de justice que l’on pourra faire des statistiques sur l’issue d’un procès, ou sur les fourchettes de gains ou de pertes d’argent.

Les techniques d’occultation de l’identité de l’individu n'offrant pas de garantie certaine, l'emploi de ces techniques assorties de contraintes juridiques ne suffira pas à éliminer tout risque résiduel de réidentification des personnes dans le cas de l'open data.

Une solution serait de revenir à d’autres principes recommandés également par Ann Cavoukian : celui de la souveraineté de l'individu, et de sa « proactivité »184_{. Cela}

peut sembler un peu en dehors des recommandations actuelles, mais l’idée serait la suivante : redonner le pouvoir aux individus sur leurs données. Ils pourraient alors eux- mêmes occulter les informations qu’ils voudraient voir cachées. Mais il est vrai que s’ils peuvent avoir un accès plus direct sur leurs données, la responsabilité de leur bonne

182 _{Gaëtan Gorce et François Pillet, « La protection des données personnelles dans l'open data : une}

exigence et une opportunité », rapport d'information fait au nom de la commission des lois n° 469 (2013- 2014) - 16 avril 2014, p.43 en ligne : <https://www.senat.fr/rap/r13-469/r13-4691.pdf >.

183 _{Supra note 128.} 184 _{Supra note 178.}

protection leur incombe aussi, et l’on risquerait de se retrouver dans des situations où les individus n’étaient pas correctement préparés à cette opération. On pourrait aussi craindre que certaines personnes laissent apparaître des informations en contrepartie d’une certaine rémunération, elles seraient donc monnayables. Les données à caractère personnel ne sont-elles pas le nouveau pétrole ? Si l’on envisage cette solution de laisser l’occultation à la discrétion de l’individu, cela respecte le principe de proactivité de l’individu, mais cela va totalement à l’encontre du principe de protection par défaut…