Les outils technologiques, la compliance by design et le RGPD : la protection des données dès la conception, in Frison-Roche, M.-A. (dir.), "Les Outils de la Compliance"

Référence générale : Pailler, L., Les outils technologiques, la compliance by design et le RGPD : la protection des données dès la conception, in M.-A. (dir.), Les outils  de la Compliance, série "Régulations & Compliance", Journal of Regulation & Compliance et Dalloz, 2021, p. 279-286

Consulter une présentation générale du volume dans lequel l'article a été publié. 

___

Résumé de l'article (fait par Marie-Anne Frison-Roche)

L'auteur estime que le RGPD a fait changer le "paradigme" de la protection des données pour la porter dans la Compliance, en ce que les responsables de traitement doivent assurer l'effectivité des règles définies par le Règlement, ce dont ils rendent des comptes.  En outre, la donnée, traitée par l'algorithme, est "un moyen de compliance" lorsqu'elle est utilisée pour les plans de vigilance et tous les autres outils, cette brique étant commune à tout le Droit de la Compliance.  Pour respecter le Droit, et notamment protéger les personnes, la Compliance by design continue à intégrer la "conformité" dès la conception de ses outils par des normes techniques (Privacy Enhancing Technologies - Pet’s), juridicisées par le RGPD. 

L'auteur analyse les moyens technologiques de la protection des données dès la conception de l'outil, qui viennent compléter la loi et le contrat. Il s'intègrent dans les "mesures" requises pour protéger les personnes, par exemple les transferts vers les pays-tiers, ces moyens technologiques étant classés selon leur degré d'effectivité. Si l'opérateur est libre dans le choix de la technologie, mais le Droit exige et contrôle qu'il soit non seulement effectivement protecteur mais encore robuste, facile d'utilisation et compatible avec les outils de l'utilisation. L'auteur souligne que la notion de "effectivité" englobe ces exigences particulières. Cette effectivité, qui doit être prouvée à priori ("documentée") est contrôlée par les Autorités  dans le caractère approprié des mesures techniques, leur mise en oeuvre efficace et leur effet concret.

Même si l'opérateur n'est soumis qu'à l'état de la technique, il doit faire évoluer ses moyens techniques, aidé par les autorités (cf. "pack de compliance" de la CNIL). Même si les autorités visent à optimiser les coûts, il doit les supporter, la mise en contexte et la finalité du traitement ne rendant finalement proportionnel. Ainsi si le risque est très élevé pour les personnes, il faudra insérer des techniques plus protecteurs encore que ceux du Droit de la Compliance. 

_____

Consulter les résumés des autres articles composant l'ouvrage.  

____