Le Règlement Général sur la Protection des Données (RGPD) pose un certain nombre de principes directeurs devant guider l’approche selon laquelle les responsables de traitements doivent traiter les problématiques de protection des données à caractère personnel auxquelles ils sont confrontés. Parmi ces principes se trouvent le principe de la protection par défaut (privacy by default) et le principe de minimisation des données, dont l’articulation n’est pas des plus évidentes.
Pour rappel, l’article 25.2 du RGPD définit le principe de protection par défaut comme suit :
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
L’article 5.1.c) définit du RGPD définit quant à lui le principe de minimisation des données de la manière suivante :
Les données à caractère personnel doivent être :
[…]
adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
Prima facie, peu d’éléments distinguent la définition générale de la protection par défaut et celle de la minimisation des données : il s’agit peu ou prou, dans les deux cas, de traiter uniquement les données à caractère personnel nécessaires au regard d’une finalité. Cependant, une lecture plus fine, par delà, peut-être, la relative absence de clarté des textes en présence, permet tout de même d’identifier certaines différences entre ces principes.
Une différence d’objet et d’objectif
Il s’agit en premier lieu d’une différence d’objet. En effet, à la lecture de l’article 5.1.c) précité, on comprend que le principe de minimisation des données intervient dans le contexte d’une liste, et que l’exigence qu’il pose est précédée de celle selon laquelle les données à caractère personnel doivent être “adéquates [et] pertinentes“. L’adéquation et la pertinence se rapportant, selon le même texte, aux données à caractère personnel collectées, on en déduira que le principe de minimisation des données se rapporte lui aussi exclusivement aux types de données, et qu’il a donc vocation à régir, tout comme l’adéquation et la pertinence, les problématiques intervenant dans le cadre de la définition de la collecte spécifiquement.
À l’inverse, le principe de protection par défaut, dans la formulation de l’article 25.2, est centré sur la “[mise] en œuvre de mesures techniques et organisationnelles“, autrement dit sur l’aspect “traitement”, lequel englobe aussi bien l’opération de collecte (en tant qu’elle constitue une forme de traitement parmi d’autres selon la définition du règlement) que toutes les opérations de traitement ultérieures portant sur les données collectées.
Ainsi, les deux principes, bien qu’ils aient à l’évidence souvent vocation à s’allier (en particulier lorsque l’étape de traitement concernée est la collecte), conservent leur indépendance et doivent être envisagés intellectuellement de manière distincte.
À titre d’exemple, une application mobile offrant des services simples de géolocalisation sur une carte n’a pas besoin de collecter l’âge ou les préférences alimentaires des personnes concernées (application du principe de minimisation des données : limitation des types de données collectées), et la fourniture du service peut très bien faire l’économie de collecter la position de la personne concernée en continu au profit d’une actualisation toutes les 10 secondes (mise en œuvre d’une mesure technique de limitation en application du principe de protection par défaut : limitation de la fréquence de collecte d’une même catégorie de données).
Cette distinction peut paraître artificielle ; elle se justifie cependant par le constat que les deux principes ne visent pas à atteindre le même objectif. En ce concentrant sur la collecte, et plus précisément sur ce qui est collecté, la donnée, le principe de minimisation des données tend à prévenir la situation où un responsable de traitement profite, par exemple, de la fourniture d’un service, pour imposer aux personnes concernées la collecte de données sans rapport avec la finalité affichée, à travers une logique du tout ou rien, et ce quelle que soit la base légale du traitement (“soit je traite des données non nécessaires au service dont la personne concernée bénéficie ou veut bénéficier, soit je ne fournis pas le service“). À l’inverse, le principe de protection par défaut tend à organiser, de façon plus générique ou “catégorielle”, la manière dont un responsable de traitement traite les données à caractère personnel après leur collecte, pour en assurer un niveau de protection maximal ; tel semble être le sens, au sein de l’article 25.2, des références à la durée de conservation et à l’accessibilité des données en interne par le personnel du responsable ou de ses partenaires.
Une différence de temporalité et de mode de raisonnement
Corollairement, la différence entre le principe de minimisation des données et le principe de protection par défaut tient aussi à ce qu’ils s’exprimeront à des moments différents de la création d’un traitement de données à caractère personnel, et nécessiteront de mettre en œuvre des modes de raisonnement eux-mêmes différents.
C’est ainsi que le principe de minimisation des données, comme le laisse entendre l’article 5.1.c), est mis en œuvre exclusivement au regard des finalités pour lesquelles les données sont traitées. Dans cette perspective, le principe de minimisation des données a vocation à intervenir au moment de la définition intellectuelle, théorique, du traitement et encadre la manière de le concevoir. Une fois que la finalité est définie (disons celle de gérer la paie des salariés d’une entreprise), la minimisation des données veut que la question qui suive soit : “quelles sont les données sans lesquelles je ne pourrai pas atteindre cette finalité ?”. Il s’agit ainsi, à partir de là, de limiter les données à celles qui sont strictement nécessaires au regard de la finalité : noms et prénoms des salariés, montants des salaires, RIB des salariés (pour le virement des salaires), jours non payés (pour arrêt maladie par exemple), adresses des salariés (pour l’envoi des feuille de paie), etc.
Ce n’est que dans un second temps qu’intervient le principe de protection par défaut. Ainsi, une fois procédé à la détermination des catégories de données nécessaires à la finalité envisagée et à l’identification des étapes du traitement, l’article 25.2, toujours par référence aux “mesures techniques et organisationnelles“, laisse entendre que le principe de protection par défaut tend à régir la mise en œuvre, les moyens, l’aspect pratique du traitement au regard de sa finalité, c’est-à-dire en somme à se poser la question : “comment puis-je effectuer ce traitement de la manière la plus protectrice de la vie privée des personnes concernées ?“. Le responsable de traitement devra ainsi ensuite, chaque fois que l’opportunité se présentera à lui, choisir les options les plus respectueuses de la vie privée de ces personnes.
Pour reprendre l’exemple précédent, le responsable de traitement devra notamment s’interroger sur le fait de savoir s’il n’est pas possible de pseudonymiser les données de ses salariés en les divisant en deux fichiers distincts avec, d’un côté, les noms et prénoms auxquels sont associés un identifiant, et de l’autre les identifiants avec les informations utiles, en ne laissant son logiciel de gestion de paie faire le rapprochement entre les deux fichiers que de façon ponctuelle. De même devra-t-il se poser la question de savoir qui a besoin d’avoir accès à ces données pour atteindre la finalité de gestion des feuilles de paie (les ressources humaines, sûrement ; l’IT, ponctuellement aussi, pour la maintenance du système d’information ; les commerciaux, probablement plutôt non ; etc.).
L’application du principe de protection par défaut suppose également que lorsque plusieurs options de collecte ou de traitement sont offertes aux utilisateurs (si, bien sûr, l’application du principe de minimisation le permet), c’est l’option la plus protectrice pour l’utilisateur qui doit être activée par défaut. Cela suppose que l’utilisateur doit consciemment et volontairement choisir de passer à une option moins protectrice pour sa vie privée et ses données personnelles. Le texte du RGPD semble cibler spécifiquement les réseaux sociaux en disposant que “par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée“. Ainsi, un réseau social ayant pour but de permettre le partage de messages à son réseau, il est normal pour lui de collecter et de traiter les messages postés par un utilisateur et de permettre de diffuser ce message à un réseau plus ou moins large : seulement son réseau, son réseau élargi (amis d’amis) ou de manière entièrement publique. Ici, le principe de protection par défaut implique que par défaut, le message ne doit être diffusé qu’au réseau le plus réduit. Ce n’est qu’avec la démarche positive de l’utilisateur de se passer de cette protection par défaut que le message pourra être diffusé plus largement.
Un autre exemple intéressant peut être trouvé dans le projet de règlement “petit frère” du RGPD, à savoir le projet de règlement dit “e-Privacy” sur la vie privée dans les communications électroniques. Celui-ci dispose(rait) qu’en matière de cookies et autres traceurs, les navigateurs Internet et autres applications connectées devraient “par défaut” être réglés sur le niveau de protection le plus élevé, à savoir celui excluant tout dépôt de traceur (autre que les traceurs à finalité purement technique, pour lesquels aucun consentement n’est de toute façon requis) ; ces traceurs ne pourraient commencer à être utilisés qu’à compter d’un acte positif clair de l’utilisateur concerné, c’est-à-dire, en somme, un consentement au sens du RGPD. Il s’agit là, de l’aveu même du législateur européen, d’une itération du principe de protection par défaut, consistant à placer entre les mains de l’utilisateur le choix d’un niveau “non intégral” de protection de sa vie privée.
Le RGPD n’est pas encore entré en vigueur et il est certain que la doctrine et les différents acteurs de la donnée à caractère personnel, y compris les autorités de contrôle, auront, à terme, décortiqué l’intégralité des notions qui s’y trouvent. En attendant, entreprises et autres parties prenantes naviguent à vue parmi les méandres de cette réglementation décidément pas toujours très explicite ; gageons, dans l’attente d’une clarification officielle bienvenue, que ces quelques lignes auront su viser juste !