Les principes de « privacy by design & by default »
Les principes de Privacy by Design et Privacy by Default ont été consacrés par le RGPD et constituent deux obligations essentielles qui pèsent désormais sur les responsables de traitement.
Ces principes garantissent la protection des données à caractère personnel, à la fois dès la conception du traitement et par défaut ; il s’agit d’assurer le respect de la vie privée des personnes concernées et d’éviter la violation de leurs données à caractère personnel, par l’adoption de mesures protectrices en amont et sans action de la part de ces personnes.
Pour rappel, l’article 25 du RGPD prévoit :
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, (…) le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (…) afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée [et] pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées (…). »
Il est complété par le considérant n° 78 du RGPD :
« Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits (…), il convient d’inciter [les éditeurs de logiciels] à prendre en compte le droit à la protection des données (…) »
« Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits (…), il convient d’inciter [les éditeurs de logiciels] (…) à s’assurer que [leurs clients] sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données. »
Qu’est-ce qu’un logiciel « privacy by design & by default » ?
Un logiciel Privacy by Design & Privacy by Default est un logiciel qui prend en compte – dès la conception et par défaut – les obligations qui pèsent sur le responsable de traitements au titre de la règlementation relative à la protection des données, et donc plus spécifiquement du RGPD.
Concrètement, la mise en œuvre des principes de Privacy by Design & Privacy by Default pour un logiciel suppose par exemple :
- le respect des finalités du traitement et du principe de minimisation : c’est-à-dire notamment la possibilité de paramétrer les champs à renseigner dans le logiciel pour atteindre la finalité poursuivie
Exemple de sanction : sanction de la CNIL contre Futura Internationale (21 novembre 2019)
Dans cette affaire la CNIL a sanctionné le manquement à l’obligation de traiter des données adéquates, pertinentes et limitées (art. 5-1-c du RGPD), à travers les commentaires injurieux et/ou relatifs à l’état de santé des personnes démarchées qui étaient renseignés dans le logiciel de gestion des clients et prospects de l’entreprise.
Au passage, l’autorité de contrôle a donné son appréciation sur les mesures correctrices mises en œuvre par l’entreprise en cours de procédure. Elle a indiqué en effet qu’une simple mention d’information à destination des utilisateurs du logiciel de gestion des clients et prospects était insuffisante en l’espèce, eu égard aux commentaires litigieux constatés, à garantir le respect des dispositions de l’article 5-1-c).
Enfin, elle a précisé que l’entreprise se devait de mettre en place un mécanisme automatisé contraignant, empêchant l’enregistrement de commentaires inadéquats tels que ceux qui avaient été constatés lors du contrôle.
- la gestion de la durée de conservation des données : c’est à dire la possibilité de paramétrer l’archivage et la suppression des données saisies
- la gestion du consentement des personnes concernées : c’est-à-dire la possibilité de recueillir, conserver et de gérer dans le temps le consentement de la personne au traitement de ses données
- la gestion des demandes d’exercice de droit et en particulier du droit d’opposition des personnes concernées : c’est-à-dire la possibilité de paramétrer la gestion effective des demandes des personnes sur les données les concernant
Dans l’affaire Futura Internationale, la CNIL a également sanctionné le manquement à l’obligation de respecter le droit d’opposition, en rappelant qu’aux termes des articles 12 et 21 du RGPD combinés, l’entreprise avait l’obligation de mettre en place un mécanisme permettant la prise en compte effective du droit d’opposition exprimé par les personnes concernées (tant auprès des personnels du responsable du traitement que de ceux du sous-traitant). Et concrètement, elle a précisé qu’il n’était pas possible de garantir efficacement l’opposition exprimée par les personnes concernées autrement que par la mise en œuvre d’un mécanisme automatisé.
- l’adoption de mesures de sécurité adaptées : des dispositifs d’authentification, gestion des habilitations, traçabilité des accès et des incidents, organisation de tests, etc. (sur ce point voir par exemple la check-list de la CNIL « Evaluer le niveau de sécurité des données personnelles de votre organisme »)
A l’évidence, un logiciel sera d’autant plus performant pour un utilisateur Responsable de traitement, que les principes de Privacy by Design & Privacy by Default auront été pris en compte et permettront une utilisation dudit logiciel respectueuse de la réglementation en matière de protection des données.
Et en dernière analyse, la « sanction » d’un logiciel qui ne serait pas Privacy by Design & Privacy by Default sera économique avant même d’être juridique, à travers les défauts de vente.
Les obligations de l’éditeur de logiciels
Un éditeur de logiciel est en premier lieu fournisseur d’un bien meuble, en l’occurrence une solution logicielle. A ce titre il est débiteur d’une « obligation de délivrance » conforme aux prévisions contractuelles.
Au-delà de la délivrance conforme du bien, il incombe également à l’éditeur de mettre à la disposition de son client – profane en la matière – une compétence professionnelle, qui comprend une obligation de conseil.
Or, l’acquéreur utilisateur d’un logiciel est tenu de respecter le RGPD, chaque fois qu’il réalise des traitements de données à travers l’utilisation dudit logiciel. Il n’est donc pas possible pour l’éditeur de faire abstraction de cette exigence qui intéresse l’usage effectif de la chose fournie.
Un éditeur de logiciel peut également fournir un service à son client utilisateur – qu’il s’agisse d’une prestation d’hébergement, de maintenance, etc. –, service dans le cadre duquel l’éditeur se verra qualifié de sous-traitant au sens du RGPD. En tant que sous-traitant, l’éditeur est directement visé par le RGPD (cf. article 28).
En conclusion, que l’éditeur soit :
- fournisseur d’un produit logiciel standard
- fournisseur d’un produit logiciel spécifique
- fournisseur de service (hébergement, maintenance, etc.)
Il est tenu par :
- l’obligation de délivrance conforme (article 1604 du Code civil – cf. Cass. com 6 décembre 2017, n°16-19615 ; CA Saint Denis 21 février 2018)
- l’obligation d’information et de conseil (cf. CA Paris, pôle 5 chambre 11, 16 octobre 2015 ; CA d’Aix en Provence 7 juin 2018, n°13/18867)
- le RGPD, art 25, al. 1 et 2, art. 28 et considérant 78
Seul le niveau de l’obligation peut varier selon les modalités de l’hébergement, le type de solution et la nature des données :
- On premise / SaaS
- Services à valeur ajoutée, etc.
- Nature des données (confidentielles, sensibles, etc.).
Quelle responsabilité pour les éditeurs ?
A ce jour on ne connait pas de condamnation de principe qui aurait été prononcée à l’encontre d’un éditeur de logiciel pour fourniture d’un logiciel non conforme aux principes de privacy by design / by default.
Pour autant, rien ne s’oppose à ce que ce grief fasse son apparition dans les contentieux à venir qui opposeront éditeurs et utilisateurs de logiciels, dès lors qu’un texte général, le RGPD, fait état d’une incitation à l’égard des éditeurs de logiciel à « prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de [leurs] produits, services et applications (…) »
Du reste, certaines jurisprudences antérieures au RGPD montrent que des réclamations fondées sur des obligations de l’éditeur, même non écrites stricto sensu, dans les contrats peuvent être retenues par les tribunaux.
- Jurisprudence CA du Lyon du 30 juin 2011 [interprétation a contrario]
- Jurisprudence Cass. com, 19 février 2008, n° 06-17669 : « (…) tout concepteur d’un progiciel a l’obligation de s’assurer que ce progiciel, au moment de sa cession, réponde tant aux besoins du client qu’aux obligations légales prévues ou prévisibles pour sa durée de vie (…) »
Quels enjeux business pour les éditeurs ?
- Capacité à faire état rapidement et facilement de sa conformité, lors des demandes de plus en plus fréquentes des clients et prospect
- Succès lors des appels d’offre ou des mises en concurrence
- Se démarquer de la concurrence par une logique de conformité by design
- Eviter les risque d’atteinte à la réputation / lanceurs d’alerte
- Eviter les risque vis-à-vis des salariés / chantage
- Eviter les risques de sanctions de l’autorité de contrôle
