Quatorze ans après avoir été introduit par un commissaire canadien à la protection de la vie privée, la confidentialité programmée (Privacy by Design) est sur le point de devenir une norme internationale de confidentialité pour la protection des produits et services aux consommateurs.
Le 8 février, l’Organisation internationale de normalisation (ISO) adoptera la confidentialité programmée en tant que norme ISO 31700.
L’ISO est un réseau de 167 organismes nationaux de normalisation. Il établit plus de 24 000 normes, y compris la norme ISO 27001 pour les systèmes de gestion de la sécurité de l’information, dont certaines organisations peuvent être certifiées conformes après avoir passé un examen par des cabinets d’audit comme Deloitte, KPMG et PwC.
Au départ, cependant, ISO 31700 ne sera pas une norme de conformité.
« C’est incroyable que l’ISO fasse cela », a déclaré Ann Cavoukian, créatrice de la confidentialité programmée et aujourd’hui directrice exécutive du Global Privacy and Security by Design Centre de Toronto. « C’est énorme. »
« Nous pensons que ce sera une étape majeure en matière de confidentialité. »
Dévoilé en 2009, la confidentialité programmée est un ensemble de principes qui appelle à la prise en compte de la confidentialité tout au long du processus de gestion des données d’une organisation.
Depuis lors, il a été adopté par l’Assemblée internationale des commissaires à la vie privée et des autorités de protection des données, et intégré dans le règlement général européen sur la protection des données (RGPD). Cependant, seules les organisations qui détiennent des données sur les résidents européens sont tenues de suivre le RGPD. En 2018, l’ISO a formé un groupe pour commencer à planifier l’inclusion de la confidentialité programmée dans ses normes.
L’adoption par l’ISO « donne vie à l’opérationnalisation du concept de confidentialité programmée », a déclaré Ann Cavoukian, « en aidant les organisations à comprendre comment le faire. La norme est conçue pour être utilisée par toute une gamme d’entreprises – des entreprises en démarrage, des entreprises multinationales, des organisations de toutes tailles. Avec n’importe quel produit, vous pouvez faire fonctionner cette norme car elle est facile à adopter. Nous espérons que la confidentialité sera intégrée de manière proactive dans la conception des opérations [d’une organisation] et qu’elle complétera les lois sur la protection des données.
À titre indicatif, la confidentialité programmée s’applique aux systèmes informatiques, aux pratiques commerciales responsables, à la conception physique et à l’infrastructure en réseau.
Tel qu’elle a été conçue à l’origine, la confidentialité programmée comporte sept principes, y compris ceux qui stipulent que la confidentialité doit être le paramètre par défaut d’une organisation (aucune action n’est requise de la part d’un individu pour protéger sa confidentialité), elle est intégré à la conception des systèmes informatiques et des pratiques commerciales, et elle est partie de l’ensemble du cycle de vie des données.
La norme ISO 31700 finale est plus détaillée, avec 30 exigences. Un brouillon de la norme indique qu’elle fera 32 pages. Elle comprend des conseils généraux sur la conception de capacités permettant aux consommateurs de faire respecter leurs droits à la vie privée, l’attribution de rôles et d’autorités pertinents, la fourniture d’informations sur la confidentialité aux consommateurs, la réalisation d’évaluations des risques pour la vie privée, l’établissement et la documentation des exigences pour les contrôles de confidentialité, la conception de contrôles de confidentialité, la gestion des données du cycle de vie et la préparation et la gestion d’une violation de données.
L’introduction proposée note que la confidentialité programmée fait référence à plusieurs méthodologies de développement de produits, de processus, de systèmes, de logiciels et de services. La bibliographie proposée qui accompagne le document fait référence à d’autres normes avec des exigences plus détaillées sur l’identification des informations personnelles, les contrôles d’accès, le consentement des consommateurs, la gouvernance d’entreprise et d’autres sujets.
Parallèlement à la norme, un document distinct décrit les cas d’utilisation possibles.
Le lancement sera marqué par un webinaire d’une heure donnant un aperçu de la norme pour les chefs d’entreprise, les propriétaires d’entreprise, les défenseurs de la vie privée des consommateurs et les praticiens de la technologie.
Ann Cavoukian a répété l’argument qu’elle défend depuis des années : la confidentialité peut être un avantage concurrentiel pour les entreprises qui l’adoptent. « Débarrassez-vous du modèle obsolète de confidentialité vs affaires », a-t-elle déclaré. « Cela peut être gagnant-gagnant. C’est la vie privée et les intérêts commerciaux. Vous pouvez faire les deux. »
Adaptation et traduction française par Renaud Larue-Langlois.
