Article 25 du RGPD : Protection des données dès la conception et protection des données par défaut

Sommaire :

Comprendre l’article 25

L’article 25 du RGPD précise les notions de Privacy by Design et Privacy by Default. Ces notions se réfèrent à la protection des données via des processus tels que la minimisation ou l’anonymisation des données.  Le Privacy by Design est l’obligation d’instaurer et d’envisager des mesures de protection des données dès la conception même du système. C’est-à-dire que dès l’origine, avant même sa publication, le système doit inclure des mesures de protection des données. Le Privacy by Default se réfère à la protection des données appliquée par défaut à un système, après sa conception.

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 25 du RGPD

  1. « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

     

  2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

     

  3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article. »

     

Jurisprudence

Sanction : 300 000€ d’amende pour Free 

Dans sa décision du 28 décembre 2021, la CNIL condamne la société FREE a une amende de 300 000€ pour plusieurs manquements au RGPD. L’article 25 est cité : il est reproché à la société de méconnaître le principe de Privacy by Design, puisque la société continuait d’envoyer des factures malgré la résiliation de lignes. Ce comportement traduit l’absence de mise en place de mesures techniques et organisationnelles. (Délibération SAN-2021-021 du 28 décembre 2021 – Légifrance

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €