La Journée Mondiale de la protection des données ou Data Privacy Day se tient ce jeudi 28 janvier. Présentes dans notre quotidien, soit en tant qu’usager, soit en tant qu’utilisateur, les données sont aujourd’hui nécessaires aux entreprises, pour comprendre et anticiper les besoins de leurs clients. Une nécessité qui doit s’envisager dès la conception des services, en mode Privacy by design. Le Blog Ma Santé Mes Soins fait le point sur cette démarche au cœur du RGPD.
Privacy by design : intégrer la protection des données dès la conception des services
La démarche Privacy by design a été consacrée lors de la mise en place du RGPD en 2018. L’objectif ? Intégrer, dès la conception d’un projet IT, la protection des données, de leur recueil à leur utilisation, en passant par le stockage. « Cela permet aux entreprises et institutions qui développent de nouveaux services de mener une réflexion poussée sur le type de donnée à recueillir et sur leur utilisation finale et d’identifier les cas d’usages liés à la protection des données. A chaque donnée récoltée doit correspondre une utilisation claire, définie en amont. », précise Sébastien Lodé, Responsable Données de Santé chez Carte Blanche Partenaires.
Pour l’entreprise, c’est la garantie de réduire les risques d’un mésusage des données à caractère personnel ; pour l’usager, une confiance dans l’utilisation des services proposés.
Intégrer en amont ces mesures bouclier permettrait également de garantir les coûts de développement des services : « Lors de lancement de projets, les coûts sont quasiment équivalents entre une solution conforme et une solution non conforme. Mais, cela coûtera plus cher à l’entreprise de rendre une solution conforme a posteriori que d’avoir anticipé ces mesures », souligne Sébastien Lodé.
Impliquer toute l’entreprise dans la démarche
Cette démarche revient à faire évoluer la culture d’innovation au sein des entreprises.
Et ce sont tous les collaborateurs qui sont concernés : « Chez Carte Blanche Partenaires, tous les collaborateurs sont sensibilisés à la protection des données, quel que soit leur poste. Des modules ludiques sont intégrés à leur parcours d’intégration, et nous les sensibilisons tout au long de l’année » précise Sébastien Lodé.
En mode projet, Carte Blanche a mis en place différents outils pour intégrer clairement la protection des données dès la conception : la détermination du rôle de responsable de traitement, une matrice de conformité au RGPD, des pictogrammes au sein des spécifications de projet pour identifier les données personnelles, voire sensible par exemple. L’ensemble de l’entreprise sensibilisée devient également actrice de cette protection dès de la conception. Et cette démarche ne s’arrête pas aux collaborateurs : elle concerne également tous les participants à un projet innovant : « Nous sommes particulièrement attentifs à impliquer nos prestataires et sous-traitants dans la réflexion projet » explique Sébastien Lodé.
Le Data Protection Officer (DPO) centralise les actions, mais joue surtout un rôle de coordinateur des différents acteurs, en lien avec la Direction. « La protection des données est un sujet stratégique. C’est la Direction qui joue un rôle moteur dans la gouvernance des données et qui impulse le mouvement auprès de tout l’éco-système de l’entreprise » conclut Sébastien Lodé.