Données personnelles

Privacy by Design RGPD : Art. 25 mise en oeuvre

L'Art. 25 RGPD impose la protection des données dès la conception et par défaut. Principes de Cavoukian, pseudonymisation, minimisation et exemples pratiques.

TD
Dr. Thiébaut Devergranne
12 avril 20268 min read

Le privacy by design RGPD, codifié à l’Art. 25, oblige les responsables de traitement à intégrer la protection des données dès la conception de tout traitement et à garantir que les paramètres par défaut protègent les données personnelles. Ce n’est pas un concept théorique : la CNIL et ses homologues européens sanctionnent de plus en plus les organismes qui déploient des traitements sans avoir intégré la protection des données dans leur architecture technique et organisationnelle.

Points Clés

  • L’Art. 25(1) RGPD impose la protection des données dès la conception (« by design ») : le responsable de traitement doit intégrer des mesures techniques et organisationnelles au moment de la conception du traitement.
  • L’Art. 25(2) RGPD impose la protection par défaut (« by default ») : seules les données strictement nécessaires à chaque finalité spécifique sont traitées par défaut.
  • Ann Cavoukian a formalisé 7 principes fondamentaux du Privacy by Design, repris comme cadre de référence par les autorités de contrôle européennes.
  • La pseudonymisation et la minimisation des données sont les deux mesures techniques explicitement citées par l’Art. 25 RGPD.
  • Les sanctions pour défaut de privacy by design augmentent : la DPC irlandaise a sanctionné TikTok de 345 millions d’euros en 2023 pour des manquements aux paramètres par défaut.

Art. 25(1) : Protection dès la conception

L’Art. 25(1) RGPD dispose :

« Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées […] de façon effective, afin d’intégrer les garanties nécessaires au traitement. »

Le texte identifie deux moments clés :

Au moment de la conception : avant le développement ou l’acquisition d’un système traitant des données personnelles, le responsable de traitement doit intégrer les mesures de protection. Cela signifie que la conformité RGPD fait partie du cahier des charges, pas de la recette.

Pendant le traitement : les mesures doivent être maintenues et adaptées tout au long du cycle de vie du traitement. Un système conforme à la conception mais dégradé en production ne satisfait pas l’Art. 25(1).

Les mesures doivent être évaluées en tenant compte de :

  • L’état des connaissances (état de l’art technologique)
  • Les coûts de mise en oeuvre (proportionnalité)
  • La nature, portée, contexte et finalités du traitement
  • Les risques pour les droits et libertés des personnes

Art. 25(2) : Protection par défaut

L’Art. 25(2) RGPD va plus loin en imposant la protection par défaut :

« Le responsable du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. »

Cette obligation s’applique à :

  • La quantité de données collectées
  • L’étendue du traitement
  • La durée de conservation
  • L’accessibilité (nombre de personnes ayant accès)

Concrètement, cela signifie :

  • Les cases de consentement ne doivent pas être pré-cochées
  • Les comptes utilisateurs doivent être créés avec les paramètres de confidentialité les plus protecteurs par défaut
  • Les données ne doivent pas être accessibles à un nombre indéterminé de personnes sans intervention de l’individu
  • La durée de conservation par défaut doit être la plus courte compatible avec la finalité

Les 7 principes de Cavoukian

Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario, a formalisé le Privacy by Design en 7 principes fondamentaux dans les années 1990. Ces principes, bien qu’antérieurs au RGPD, restent le cadre de référence le plus cité par les autorités de contrôle européennes :

1. Proactif, non réactif ; préventif, non correctif : anticiper les atteintes à la vie privée avant qu’elles ne se produisent, plutôt que de les corriger après coup.

2. Protection par défaut : garantir la protection des données sans que l’individu n’ait à agir. C’est le principe directement repris par l’Art. 25(2) RGPD.

3. Protection intégrée à la conception : la protection des données est une composante essentielle du système, pas un ajout ultérieur.

4. Fonctionnalité complète (somme positive) : le privacy by design ne s’oppose pas aux objectifs légitimes du traitement. Il s’agit de trouver des solutions qui protègent la vie privée et permettent d’atteindre les objectifs.

5. Sécurité de bout en bout : protéger les données tout au long de leur cycle de vie, de la collecte à la destruction.

6. Visibilité et transparence : permettre une vérification indépendante des pratiques de protection des données.

7. Respect de la vie privée des utilisateurs : placer l’individu au centre, avec des interfaces intuitives, des informations claires et des choix significatifs.

Exemples d’implémentation

Pseudonymisation

L’Art. 25(1) RGPD cite explicitement la pseudonymisation comme mesure technique appropriée. La pseudonymisation consiste à traiter les données de manière à ce qu’elles ne puissent plus être attribuées à une personne sans recourir à des informations supplémentaires conservées séparément.

Exemples pratiques :

  • Remplacer les identifiants directs (nom, email) par des identifiants aléatoires dans les bases d’analyse
  • Séparer les données d’identification des données de traitement dans des bases distinctes
  • Utiliser des fonctions de hachage avec sel pour les données d’authentification

Minimisation des données

L’Art. 25(1) cite également la minimisation : ne collecter que les données strictement nécessaires à la finalité. Cela implique :

  • Supprimer les champs de formulaire non indispensables
  • Ne pas collecter la date de naissance quand seule la majorité est requise (utiliser une case à cocher)
  • Limiter la granularité des données de géolocalisation au niveau nécessaire

Architecture technique

Chiffrement de bout en bout pour les communications contenant des données personnelles.

Contrôle d’accès granulaire : limiter l’accès aux données en fonction du rôle (RBAC). Un gestionnaire RH n’a pas besoin d’accéder aux données de santé des employés gérées par la médecine du travail.

Suppression automatique : programmer la suppression ou l’anonymisation des données à l’expiration de la durée de conservation, sans intervention manuelle.

Journalisation des accès : tracer qui accède à quelles données, quand et pourquoi, pour permettre l’audit et la détection d’accès non autorisés.

Sanctions pour défaut de privacy by design

DPC (Irlande), septembre 2023 : TikTok a été sanctionné de 345 millions d’euros pour des manquements au privacy by design RGPD concernant les données d’enfants. Les paramètres par défaut des comptes d’utilisateurs âgés de 13 à 17 ans rendaient leurs contenus publics, en violation directe de l’Art. 25(2) RGPD.

CNIL, Délibération n°SAN-2020-012 du 7 décembre 2020 : Carrefour France et Carrefour Banque ont été sanctionnés pour un total de 3,05 millions d’euros, incluant des manquements à la protection par défaut dans la gestion des cookies et des programmes de fidélité.

ICO (Royaume-Uni), 2020 : British Airways a reçu une amende de 20 millions de livres (réduite de 183 millions initialement prévus) pour un défaut de sécurité résultant de l’absence de mesures de protection intégrées dès la conception dans son système de réservation en ligne.

AEPD (Espagne), 2021 : Vodafone Espagne a été sanctionnée de 8,15 millions d’euros pour des défaillances systémiques dans la gestion des données personnelles, incluant l’absence de mesures de protection dès la conception dans les processus de portabilité.

Comment intégrer le privacy by design dans votre organisation

Phase de conception

Intégrez un « Privacy Review » systématique dans le processus de développement de tout nouveau produit, service ou traitement. Cette revue doit impliquer le DPO (ou le référent protection des données) dès la rédaction du cahier des charges.

Phase de développement

Formez les équipes techniques aux principes du privacy by design. Les développeurs doivent connaître les mécanismes de pseudonymisation, de minimisation et de chiffrement disponibles dans leur environnement technique.

Phase de déploiement

Vérifiez que les paramètres par défaut respectent l’Art. 25(2) avant la mise en production. Une analyse d’impact (Art. 35 RGPD) peut être nécessaire si le traitement présente un risque élevé.

Phase d’exploitation

Réexaminez régulièrement les mesures de protection au regard de l’état de l’art. Une mesure appropriée en 2020 peut ne plus l’être en 2026.

FAQ

Le privacy by design est-il une obligation légale ou une recommandation ?

C’est une obligation légale. L’Art. 25 RGPD utilise le terme « met en oeuvre » (shall implement), ce qui en fait une obligation contraignante pour tout responsable de traitement. Le non-respect de l’Art. 25 est sanctionnable au titre de l’Art. 83(4)(a) RGPD, avec des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Comment prouver la conformité au privacy by design ?

La preuve repose sur la documentation : rapports de privacy review, analyses d’impact, spécifications techniques intégrant les mesures de protection, paramètres par défaut documentés, formations des équipes. Le principe d’accountability (Art. 5(2) RGPD) impose de démontrer la conformité, pas seulement de l’affirmer.

Le privacy by design s’applique-t-il aux systèmes existants ?

Oui. Si l’Art. 25 vise principalement « la détermination des moyens du traitement » (la conception), il s’applique également « au moment du traitement lui-même ». Les systèmes existants doivent être réexaminés et, le cas échéant, mis à jour pour intégrer les mesures de protection appropriées au regard de l’état de l’art actuel.

Quelle différence entre privacy by design et privacy by default ?

Le privacy by design (Art. 25(1)) porte sur l’intégration des mesures de protection dans la conception du traitement. Le privacy by default (Art. 25(2)) porte sur les paramètres par défaut : seules les données nécessaires sont traitées, l’accès est limité, la conservation est minimale. Les deux sont complémentaires et obligatoires.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law

Cookie Consent Under GDPR and ePrivacy: Complete Guide
Data Privacy

Cookie Consent Under GDPR and ePrivacy: Complete Guide