Principes

Privacy by default

Le Privacy by default impose que seuls les données strictement nécessaires soient collectées et traitées par défaut, sans action de l'utilisateur.

Définition complète

Le principe de « protection des données par défaut » est une obligation légale inscrite à l'article 25(2) du RGPD. Il impose aux entreprises de s'assurer que, par défaut, seules les données personnelles nécessaires à la finalité spécifique du traitement sont collectées, stockées et rendues accessibles. En d'autres termes, l'utilisateur ne doit pas avoir à intervenir pour protéger sa vie privée : le réglage le plus protecteur doit être celui appliqué automatiquement dès la mise en service d'un produit ou d'un service. Concrètement, cela signifie que le système ne doit pas collecter plus de données que ce qui est strictement indispensable pour rendre le service. Cela concerne non seulement la quantité de données (minimisation), mais aussi la durée de conservation, la confidentialité des données vis-à-vis de tiers et l'étendue de leur diffusion. Si une fonctionnalité optionnelle nécessite des données supplémentaires, c'est à l'utilisateur d'activer explicitement cette option (opt-in), et non à lui de la désactiver (opt-out). Pour un dirigeant de PME, ce principe transforme la conception des outils numériques. Il ne s'agit plus de proposer des options de confidentialité dans un menu complexe, mais de bâtir l'architecture technique et organisationnelle de sorte que la protection soit l'état naturel du système. Le non-respect de cette obligation expose l'entreprise aux sanctions de la CNIL, car elle témoigne d'une absence de diligence dans la gestion des risques liés aux données.

Exemple concret en PME

Une PME lance une application de gestion de planning pour ses clients. Par défaut, le profil de l'utilisateur est configuré sur « Privé » : son numéro de téléphone et son email ne sont pas visibles par les autres utilisateurs. Si le client souhaite partager ses coordonnées pour faciliter la collaboration, il doit activer manuellement l'option dans ses paramètres. L'application ne coche jamais d'office la case « Partager mes données avec des partenaires commerciaux ».

L'erreur fréquente à éviter

L'erreur classique consiste à confondre le consentement avec le Privacy by default. De nombreuses PME utilisent des cases pré-cochées pour des newsletters ou des partages de données, pensant que l'utilisateur peut les décocher. Or, le RGPD interdit les cases pré-cochées : le réglage par défaut doit être l'absence de collecte ou de partage, rendant toute action positive de l'utilisateur obligatoire pour modifier ce paramètre.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site