La confidentialité dès la conception (« privacy by design ») signifie essentiellement qu'un produit ou un service commercial est conçu -dès le départ- pour protéger la confidentialité des données exploitées, et réduire au strict minimum le périmètre des données nécessaires pour garantir le bon fonctionnement du service ou du produit.
"La confidentialité dès la conception (« privacy by design ») signifie essentiellement qu'un produit ou un service commercial est conçu -dès le départ- pour protéger la confidentialité des données exploitées, et réduire au strict minimum le périmètre des données nécessaires pour garantir le bon fonctionnement du service ou du produit.
Malheureusement, de nombreux produits et services ont été conçus en privilégiant d’abord les fonctionnalités et l’ergonomie, et ont intégrés –après coup seulement- des fonctions orientées sur la sécurité et la confidentialité. Les nombreuses fuites de données annoncées chaque jour dans la presse en témoignent.
Pire encore, certains produits, généralement issus du marché grand public, et adoptés de plus en plus dans le monde professionnel, sont justement conçus pour obtenir (puis exploiter et revendre) un maximum de données personnelles. Ceci va à l’encontre des exigences du RGPD.
Un des meilleurs exemples est la façon dont les listes des contacts des utilisateurs sont utilisées par de nombreux services mobiles/web. Ces applications accèdent et exploitent les listes de contacts personnels bien au-delà de ce dont elles ont besoin pour fournir correctement leur service.
Ainsi, elles collectent souvent les coordonnées complètes, y compris adresses email, numéros de téléphone, dates de naissance et autres informations que l'utilisateur a renseignées dans son carnet d'adresses.
Ces données sont ensuite transférées aux serveurs du service, avant d’être exploitées. Cette exploitation des données est le plus souvent totalement floue (geo-marketing, profilage consommateur, autres.. ?), hors du contrôle de l'utilisateur, et motivées par des considérations mercantiles.
En témoignent les 42 dollars par utilisateur payés par Facebook pour acquérir Whatsapp et les informations personnelles de sa base client, ou les 60 dollars par utilisateur payés par Microsoft pour acquérir les détails du parcours et réseau professionnel des utilisateurs du service LinkedIn...
Ceci va à l'encontre des principes directeurs de consentement de l'utilisateur final, de limitation et de minimisation des données personnelles collectées ou exploitées."
