Article 25 – Protection des données dès la conception et protection des données par défaut

Article 25 - Protection des données dès la conception et protection des données par défaut

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

En savoir plus...

L'article 25 du RGPD établit l'idée de la protection des données « dès la conception et par défaut ». Les responsables du traitement doivent mettre en place des mesures techniques et organisationnelles appropriées conçues pour mettre en œuvre les principes de la protection des données. Cela signifie que lors de la programmation, de la conception et de l'élaboration de systèmes et de programmes, ainsi que lors de l'acquisition de systèmes et de services auprès de tiers, le responsable du traitement doit s'assurer que la protection des données est prise en compte et que les principes du RGPD sont correctement intégrés dans l'activité de traitement. Le premier paragraphe décrit plus en détail les principes de la protection des données dès la conception. Le deuxième paragraphe développe ce point en décrivant les principes de la protection des données par défaut. Le troisième paragraphe explique qu'un mécanisme de certification approuvé, conformément à l'article 42, peut être utilisé comme élément pour démontrer la conformité.

Les obligations prévues à l'article 25 s'adressent spécifiquement au responsable du traitement (article 4, paragraphe 7 du RGPD), qui reste responsable du respect de toutes les obligations légales liées au traitement des données. Les sous-traitants sont indirectement concernés puisque, en vertu de l'article 28, paragraphe 1, du RGPD, un responsable du traitement ne peut faire appel qu'à des sous-traitants fournissant les mêmes normes que celles prévues à l'article 25. Toutefois, en dernier ressort, le responsable du traitement est responsable de la conformité du traitement effectué par ses sous-traitants et sous-traitants ultérieurs.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

Mesures techniques et organisationnelles appropriées
78. La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

Droit souple

Lignes directrices et recommandations

> Privacy by Design and by Default (v2.0)

20 octobre 2020

Références

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Autres informations	Lien
TSV.26.2020	Verkkokauppa	18/03/2024	2024	Finlande	CNIL ou équivalent	A classer	Internet	Exigence de création d'un compte client pour effectuer un achat en ligne - Rejet		(Traduction) 44. La pratique du responsable du traitement consistant à exiger l'enregistrement du client pour effectuer un achat individuel dans une boutique en ligne n'était pas conforme à l'article 5, paragraphe 1, point e), et à l'article 25, paragraphe 2, du GDPR. La procédure a également conduit à la conservation des données des acheteurs individuels pendant une période plus longue que celle qui aurait été nécessaire pour effectuer un seul achat.	5, 25	60fa983c8c5500c101ff5344d51feccfdf46fae7		Cette décision a fait l'objet d'un appel, la procédure est en cours.	Cliquer pour accéder à la décision traduite par machine ou Cliquer pour accéder à la décision officielle
C-291/12	Schwarz	17/10/2013	2013	Allemagne	Cour de Justice de l'UE	A classer	Administration	Passeport biométrique - Empreintes digitales - Incapacité du requérant à apporter la preuve de l'existence d'une méthode aussi efficace et moins intrusive pour prévenir les fraudes - Conséquence : proportionnalité de la méthode	La demande de décision préjudicielle porte sur la validité de l’article 1er, paragraphe 2, du règlement (CE) no 2252/2004 du Conseil, du 13 décembre 2004, établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres (JO L 385, p. 1), tel que modifié par le règlement (CE) no 444/2009 du Parlement européen et du Conseil, du 6 mai 2009 (JO L 142, p. 1, et rectificatif JO L 188, p. 127, ci-après le «règlement no 2252/2004»). Cette demande a été présentée dans le cadre d’un litige opposant M. Schwarz à la Stadt Bochum (ville de Bochum) au sujet du refus de cette dernière de lui délivrer un passeport sans que soient concomitamment relevées ses empreintes digitales aux fins d’être stockées sur ce passeport.	53. Dans ces conditions, il y a lieu de constater qu’il n’a pas été porté à la connaissance de la Cour l’existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales.	25	60fa983c8c5500c101ff5344d51feccfdf46fae7	[Mise en balance des droits reconnus aux personnes et des buts de la réglementation en cause] CJUE, 9 novembre 2010, Volker und Markus Schecke et Eifert, C-92/09 et C-93/09 (point 86) [Nécessité, pour le législateur, de s'assurer de l'existence de garanties spécifiques contre les traitements abusifs] CEDH, 4 décembre 2008, S. et Marper c. Royaume-Uni (§103)		Cliquer pour accéder à la décision
SAN-2021-021	FREE	28/12/2021	2021	France	CNIL ou équivalent	A classer	Technologie	Mesures techniques et organisationnelles pour ne plus traiter les données suite à une demande de résiliation d’une ligne téléphonique	Cas d’une personne ayant souscrit une ligne téléphonique principale et une ligne téléphonique secondaire dans le cadre d’un abonnement téléphonique et qui résilie seulement la ligne principale/secondaire.	94. La formation restreinte considère que si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat et à des fins comptables, ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information dans le cadre de l’émission des facturations en cours, et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être utilisé à la place. La société aurait dû prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée.	25	60fa983c8c5500c101ff5344d51feccfdf46fae7	/		Cliquer pour accéder à la décision
SAN-2022-020	Discord INC.	10/11/2022	2022	France	CNIL ou équivalent	A classer	Technologie	Recours à un symbole couramment utilisé en informatique pour un usage inhabituel - Absence d'information suffisamment claire - Méconnaissance du principe de protection des données par défaut	DISCORD est un logiciel de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via Internet) et de messagerie instantanée, permettant notamment aux utilisateurs de créer des serveurs, ainsi que des salons textuels, vocaux et vidéos. DISCORD est ainsi une plateforme permettant aux personnes ayant des intérêts similaires de partager et de communiquer. Faisant suite à une enquête, la rapporteure a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative au regard des manquements constitués aux articles 5, paragraphe 1, e), 12, 13, 21, paragraphe 1, 25, paragraphe 2, 32 et 35 du RGPD. S'agissant de l'article 25 du RGPD, il est notamment reproché à la société le fait que le fait de cliquer sur la croix du logiciel n'ait pour effet que de le "réduire" sans le fermer complètement, celui-ci continuant ainsi d'opérer en arrière-plan.	62. En deuxième lieu, la formation restreinte relève que ce paramétrage par défaut de l’application - qui prévoyait qu’elle n’est pas quittée lorsque la fenêtre principale est fermée - conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers sans qu’il en ait nécessairement conscience. En effet, l’utilisateur n’avait pas forcément conscience que ses paroles continuaient à être transmises et entendues par les autres membres présents dans le salon vocal. La formation restreinte note qu’un tel paramétrage, en l’absence d’information suffisamment claire et visible, présentait des risques importants pour les utilisateurs, notamment d’intrusion dans leur vie privée. 63. Dès lors, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 25, paragraphe 2, du RGPD, qui impose la protection des données par défaut.	25	60fa983c8c5500c101ff5344d51feccfdf46fae7	/		Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

GPDP (autorité italienne)

02 janvier 2025

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]

Disponible sur: veille.portail-rgpd.com

DPC (autorité irlandaise)

17 décembre 2024

La Commission irlandaise de protection des données inflige une amende de 251 millions d’euros à Meta La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui ses décisions finales à la suite de deux enquêtes sur Meta Platforms Ireland Limited. Ces enquêtes ont été lancées par la DPC à la suite d’une violation de […]

Disponible sur: veille.portail-rgpd.com