Préférez-vous nous contacter par téléphone ?

Bekijk het overzicht van onze Wanted kantoren op onze contactpagina.

02/02/2026
28/04/2018

Data protection by design ou data protection by default ?

Data protection by design versus data protection by default.

Le Règlement général sur la protection des données (RGPD), loi européenne sur la protection des données, impose à tout responsable du traitement des données de respecter les principes de « protection des données dès la conception » et de « protection des données par défaut » (article 25 du RGPD). Mais que signifient exactement ces principes ?

Data protection by design versus data protection by default.

Le droit européen de la protection des données (le Règlement général sur la protection des données / RGPD) impose à tout responsable du traitement de respecter la protection des données dès la conception (data protection by design) et la protection des données par défaut (data protection by default) (article 25 RGPD, en lien avec le considérant 78). Il ne s’agit pas d’une simple bonne pratique : c’est une obligation active. Les organisations doivent, dès la conception des traitements, mettre en place des choix qui permettent de respecter effectivement les principes (article 5 RGPD) et les droits des personnes concernées.

Depuis l’entrée en vigueur du RGPD, la doctrine et la guidance se sont affinées, notamment via les lignes directrices du CEPD/EDPB 4/2019 sur l’article 25 RGPD (version finale). Celles-ci rappellent que « by design » et « by default » ne sont pas uniquement des sujets techniques (IT), mais également organisationnels : politiques internes, gouvernance, rôles, contrôles et preuve.

« Facebook et de nombreuses autres plateformes offrent des paramètres de confidentialité étendus (de par leur conception), mais ne les rendent pas respectueuses de la vie privée par défaut. »

Pieter Pauwels

Data Protection by design.

La protection des données dès la conception signifie qu’au moment de développer (ou d’acheter/configurer) des produits, services, processus et applications, vous tenez compte dès le départ de :

  • Limitation des finalités : traiter uniquement pour des finalités déterminées, explicites et légitimes.
  • Minimisation des données : ne collecter et n’utiliser que les données strictement nécessaires.
  • Transparence : expliquer clairement ce qui est fait avec les données.
  • Exactitude et limitation de la conservation.
  • Intégrité et confidentialité (sécurité).
  • Accountability (responsabilisation) : être en mesure de démontrer la conformité.

Point important : « by design » ne signifie pas que l’utilisateur porte la charge principale. C’est l’organisation qui conçoit le traitement et qui doit choisir des mesures appropriées, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

Exemple 1 : formulaire de contact sur un site web

La protection dès la conception implique de limiter le nombre de champs obligatoires à ce qui est strictement nécessaire.

  • Si un retour est nécessaire, le nom et l’e-mail suffisent généralement.
  • Demander un numéro de téléphone « au cas où » est souvent difficile à justifier.
  • Les champs de texte libre sont utiles, mais peuvent entraîner la saisie spontanée d’informations (trop) sensibles. Il peut être opportun d’ajouter un avertissement (p. ex. « ne partagez pas d’informations médicales »).

Exemple 2 : pseudonymisation et chiffrement

La pseudonymisation consiste à traiter des données de manière à ce qu’elles ne puissent plus être attribuées à une personne spécifique sans informations supplémentaires. Attention : les données pseudonymisées restent en principe des données à caractère personnel (identification indirecte possible). Lorsque cela est pertinent, le chiffrement peut également réduire les risques.

Complément pratique (évolution) : privacy engineering et « dark patterns »

Depuis 2022, l’attention s’est renforcée sur les choix d’interface qui incitent les utilisateurs à opter pour moins de confidentialité (les « dark patterns » / modèles de conception trompeurs), notamment sur les réseaux sociaux et les applications. Un design qui rend les choix protecteurs plus difficiles (options confuses, fatigue des pop-ups, formulation culpabilisante) peut fragiliser la validité des choix et aller à l’encontre de l’esprit de l’article 25 RGPD.

Stratégies pour la protection des données dès la conception

Plusieurs stratégies permettent de rendre opérationnel le principe « by design ». Une classification souvent utilisée s’articule autour de huit privacy design strategies :

  • Orientées « données » :
    • Minimise : minimiser la collecte.
    • Hide : éviter l’exposition inutile d’identifiants.
    • Separate : séparer les ensembles de données (p. ex. identification vs. contenu).
    • Aggregate : agréger/généraliser lorsque le détail n’est pas nécessaire.
  • Orientées « processus » :
    • Inform : garantir la transparence.
    • Control : permettre des choix effectifs.
    • Enforce : appliquer des règles (politiques, rôles, procédures, codes de conduite).
    • Demonstrate : documenter et démontrer (accountability).

Data protection by default.

La protection des données par défaut signifie que les paramètres standard doivent être les plus respectueux de la vie privée. Concrètement :

  • par défaut, ne traiter que les données nécessaires ;
  • par défaut, limiter la durée de conservation ;
  • par défaut, restreindre l’accès aux personnes qui en ont besoin ;
  • par défaut, éviter le partage public ou la visibilité « ouverte » ;
  • éviter les cases pré-cochées pour des traitements additionnels.

L’idée centrale : si l’utilisateur ne fait rien (ne clique pas, ne modifie rien, ne configure pas), le traitement doit être le plus protecteur possible.

Exemple : localisation

La localisation peut être sensible. « By default » implique que la localisation n’est pas activée par défaut, sauf si elle est nécessaire à la fonctionnalité principale (et à condition de disposer d’une base juridique adéquate et d’une information claire).

Exemple : réseau social / plateforme communautaire

De nombreuses plateformes offrent des réglages permettant d’améliorer la confidentialité après coup (by design), mais les paramètres par défaut restent souvent larges (profil public, marquage automatique, indexation par les moteurs de recherche, publicité personnalisée). C’est précisément la différence : by design = options disponibles ; by default = confidentialité comme point de départ.

Renforcement juridique (évolution) : preuve et gouvernance

Dans la pratique, les autorités attendent de plus en plus que les organisations puissent démontrer :

  • quels choix de conception ont été faits et pourquoi ;
  • quelle analyse de risques a été réalisée (et quand une AIPD/DPIA est nécessaire) ;
  • quels droits d’accès s’appliquent et comment ils sont contrôlés ;
  • quels paramètres par défaut s’appliquent lors de la création de comptes ;
  • comment les changements sont testés (release management) afin que des mises à jour ne réactivent pas involontairement des paramètres moins protecteurs.

Conclusion

L’article 25 RGPD impose de ne pas « corriger » la confidentialité a posteriori, mais de l’intégrer en amont : dans la conception du traitement (by design) et dans les paramètres standard (by default). En pratique, cela implique de collecter moins mais mieux, de proposer des choix clairs sans manipulation, de limiter l’accès et la conservation, et surtout de pouvoir démontrer les mesures prises et leur justification.

Une mise en œuvre solide de la protection des données dès la conception et par défaut réduit non seulement les risques juridiques (plaintes, contrôles, responsabilité), mais renforce également la confiance des clients, des collaborateurs et des partenaires.

D'autres ont également lu.

Clause de non-responsabilité

Les informations sur les sujets juridiques contenues dans cet article sont fournies à titre informatif uniquement et ne peuvent en aucun cas être considérées comme des conseils juridiques. Wanted Law n'accepte aucune responsabilité pour tout dommage que quiconque pourrait subir en agissant sur la base de ces informations. Si vous avez besoin de conseils juridiques, vous devez contacter un avocat qualifié qui vous conseillera en fonction de votre situation personnelle. Tous les articles de blog publiés sur le site Wanted Law sont rédigés conformément au droit belge.

Droits d'auteur

Wanted Law détient les droits d'auteur exclusifs de ce site Web, de sa conception et de tout son contenu. L'utilisation de ce site Web, ou de parties de celui-ci, sous quelque forme que ce soit, est interdite sans le consentement écrit préalable de Wanted Law.

Partagez ce message

Avez-vous un problème et souhaitez-vous des conseils juridiques abordables?

Réservez une consultation chez Wanted Law!

Vous souhaitez une consultation vidéo chez Wanted Law ?

Je réserve une consultation vidéo chez Wanted Law !

Connaissez-vous le Wanted Speeddate ?

Présentez immédiatement votre problème juridique à un avocat !