Article 25 RGPD : privacy by design et by default

L’article 25 du RGPD est l’article le plus mal compris du règlement. Tout le monde répète « privacy by design » comme un mantra, mais peu d’organisations savent ce que la formule recouvre juridiquement — et encore moins ce qu’elle impose en pratique. Quand la formation restreinte de la CNIL inflige 800 000 € à Discord (SAN-2022-009 du 10 novembre 2022), c’est précisément l’Art. 25(2) qui sert de fondement principal : l’éditeur n’avait pas paramétré ses serveurs pour purger automatiquement les comptes inactifs. Dans mon expérience de conseil, l’Art. 25 est le pivot caché de toutes les procédures CNIL contemporaines. Voici son analyse paragraphe par paragraphe, les sanctions clés, et un plan opérationnel pour 2026.

Ce que dit l’article 25 du RGPD

L’Art. 25 RGPD s’intitule « Protection des données dès la conception et protection des données par défaut ». Il appartient au chapitre IV (« Responsable du traitement et sous-traitant ») et complète directement l’Art. 24 RGPD sur l’accountability. Les deux articles forment un binôme indissociable : l’Art. 24 pose l’obligation générale de pilotage de la conformité incombant au responsable de traitement, l’Art. 25 en précise une déclinaison technique majeure — la conception des outils et des paramètres par défaut. Pour la lecture conceptuelle de ces principes, je renvoie au guide complet privacy by design et by default ; le présent article propose un commentaire juridique paragraphe par paragraphe.

L’article comporte trois paragraphes que je commenterai successivement.

« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. »

L’EDPB a précisé l’application de cet article dans ses Lignes directrices 4/2019 sur la protection des données dès la conception et par défaut (version 2.0 adoptée le 20 octobre 2020). Ces lignes directrices restent la grille de lecture de référence pour la CNIL et sont systématiquement citées dans les délibérations sanctionnant l’Art. 25.

Article 25(1) : la protection des données dès la conception

Le premier paragraphe — « privacy by design » — articule trois exigences cumulatives : un déclencheur temporel, une obligation de moyens et un objectif d’effectivité.

Le double moment d’application

La phrase clé du paragraphe est probablement la plus ignorée : « tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même ». Cela signifie que l’obligation s’applique à deux moments distincts.

D’abord en amont, lors de la conception : le responsable de traitement doit intégrer la protection des données dès la phase de spécification fonctionnelle, de choix d’architecture, de sélection des sous-traitants. Concrètement, lorsqu’une PME décide de déployer un nouveau CRM, l’Art. 25 impose une analyse préalable des paramètres de configuration : durée de conservation, contrôle d’accès, journalisation, pseudonymisation des données de production utilisées en environnement de test. Cette analyse doit être tracée — l’Art. 24 RGPD impose la démonstration.

Ensuite en cours de vie du traitement : l’obligation est continue. Une mise à jour du système, l’ajout d’une nouvelle finalité, le changement de sous-traitant déclenchent une nouvelle obligation d’examen. La CNIL applique strictement cette logique. Dans la SAN-2024-001 Hubside du 4 avril 2024 (525 000 €), la formation restreinte a relevé que l’organisation n’avait jamais réévalué ses paramètres de durée de conservation depuis l’origine du traitement, alors que la finalité avait évolué.

Les facteurs de modulation

L’Art. 25(1) reprend les facteurs de modulation classiques — nature, portée, contexte, finalités, risques — mais y ajoute deux critères propres : « l’état des connaissances » et « les coûts de mise en œuvre ». Cette rédaction est essentielle.

L’état des connaissances impose un standard évolutif. Ce qui était acceptable en 2018 ne l’est plus en 2026. La CNIL considère désormais que la pseudonymisation des données de test est une mesure standard, que le chiffrement TLS 1.3 est attendu pour tous les flux exposés sur Internet, et que la suppression automatisée des comptes inactifs est techniquement réalisable. Les exigences de la formation restreinte évoluent au rythme des bonnes pratiques sectorielles.

Les coûts de mise en œuvre permettent une modulation, mais cette modulation est encadrée. Une PME ne peut invoquer un argument de coût pour ne pas activer une fonctionnalité native déjà incluse dans son outil. En revanche, elle peut différer une refonte coûteuse si elle a documenté une stratégie progressive. Dans ma pratique, je conseille toujours de tracer le raisonnement coût-bénéfice par écrit — c’est le seul moyen de démontrer la proportionnalité en cas de contrôle.

Les mesures techniques et organisationnelles : l’exemple de la pseudonymisation

Le législateur cite expressément la pseudonymisation comme exemple de mesure attendue. Ce n’est pas un hasard : la pseudonymisation est le couteau suisse du privacy by design. Elle réduit les risques sans altérer l’utilité analytique des données. La CNIL en exige systématiquement l’usage dès lors qu’il est techniquement possible — environnements de test, agrégats statistiques, transmissions à des tiers.

Mais l’Art. 25 ne se limite pas à la pseudonymisation. La pratique consolidée par l’EDPB et la CNIL identifie six familles de mesures techniques :

• Minimisation des données collectées : ne collecter que les champs strictement nécessaires à la finalité — voir le principe de minimisation.
• Granularité des durées de conservation : conservation différenciée selon la catégorie de données et la finalité, avec purge automatisée.
• Contrôle d’accès basé sur le besoin d’en connaître : authentification forte, gestion des habilitations par rôle, journalisation.
• Chiffrement : au repos, en transit, et lorsque c’est pertinent en usage (chiffrement homomorphe émergent).
• Anonymisation et pseudonymisation selon les cas d’usage.
• Interfaces d’exercice des droits : portail self-service, formulaires d’effacement, paramètres de confidentialité utilisateur.

Aux mesures techniques s’ajoutent les mesures organisationnelles : politiques internes, formations, processus de revue projet (« privacy review »), comité d’arbitrage des choix de conception. C’est ce qu’on appelle parfois le DPMS — Data Protection Management System. Pour les traitements à haut risque, ces mesures débouchent sur la formalisation d’une analyse d’impact relative à la protection des données au titre de l’Art. 35 RGPD ; l’AIPD est l’instrument majeur de la traçabilité du privacy by design.

L’effectivité comme critère ultime

L’Art. 25(1) impose que les mesures soient « destinées à mettre en œuvre les principes relatifs à la protection des données […] de façon effective ». Le critère d’effectivité est central. La CNIL l’utilise comme test de réalité : une politique théorique, jamais appliquée, n’a aucune valeur. Dans la SAN-2023-013 Doctissimo du 26 octobre 2023 (380 000 €), la formation restreinte a relevé que les durées de conservation étaient bien définies sur le papier, mais que les bases de données conservaient encore des cookies expirés depuis plus de deux ans. Le manquement à l’Art. 25(1) est explicite.

Cette effectivité se prouve par des éléments tangibles : journaux techniques, captures d’écran de paramètres, rapports d’audit interne, tickets de support, procès-verbaux de comités. C’est le pendant opérationnel de l’obligation de démonstration de l’Art. 24.

Article 25(2) : la protection des données par défaut

Le deuxième paragraphe est probablement le plus opérationnel du RGPD. C’est aussi celui qui fonde le plus grand nombre de sanctions de la CNIL ces trois dernières années.

« 2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

Les quatre dimensions du « par défaut »

L’Art. 25(2) liste quatre dimensions sur lesquelles s’applique la protection par défaut. Il est essentiel de les traiter séparément.

1. La quantité de données collectées. Les champs marqués comme obligatoires doivent être strictement limités à ce qui est nécessaire. Un formulaire d’inscription qui exige le numéro de téléphone alors que la finalité est uniquement la création de compte e-mail viole l’Art. 25(2). Dans la SAN-2024-003 NS Cards France du 14 mars 2024 (105 000 €), la CNIL a sanctionné la collecte systématique du numéro de téléphone pour des finalités qui ne le nécessitaient pas.

2. L’étendue du traitement. Les opérations effectuées sur les données doivent être limitées par défaut. Un CRM ne doit pas, par défaut, enrichir automatiquement les fiches clients avec des données issues de réseaux sociaux. Un système de scoring ne doit pas, par défaut, calculer des profils sur l’ensemble de la base. C’est par activation explicite et tracée que l’extension du traitement doit se produire.

3. La durée de conservation. C’est la dimension la plus sanctionnée. La SAN-2022-009 Discord du 10 novembre 2022 (800 000 €) est emblématique : la formation restreinte a explicitement reproché à Discord l’absence de purge automatisée des comptes inactifs, en violation directe de l’Art. 25(2). Le paramétrage par défaut conservait indéfiniment toutes les données. La CNIL exige désormais que les politiques de purge soient automatisées, et non laissées à un script ad hoc déclenché manuellement.

4. L’accessibilité. C’est la dimension la plus subtile. L’accès aux données doit être restreint par défaut au strict besoin. La logique du « least privilege » du monde de la cybersécurité s’applique pleinement ici, en cohérence avec les obligations de sécurité de l’Art. 32 RGPD. La SAN-2022-012 Dedalus Biologie du 21 avril 2022 (1,5 M€) a sanctionné l’éditeur pour avoir maintenu des accès partagés à des bases médicales — relevant des données sensibles au sens de l’Art. 9 — sans contrôle d’accès individualisé. Cette fragilité a directement permis l’exfiltration de 491 000 dossiers patients, déclenchant les obligations de notification de violation à la CNIL au titre de l’Art. 33.

Le principe de non-accessibilité par défaut

La dernière phrase de l’Art. 25(2) introduit un principe spécifique majeur : « par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée ».

Ce passage vise principalement les paramètres de visibilité publique sur les plateformes sociales, les forums, les profils utilisateurs. Concrètement, lorsqu’un utilisateur s’inscrit sur un service en ligne, son profil ne doit pas, par défaut, être visible publiquement. C’est la base juridique de la décision Norwegian DPA contre Grindr (15,5 millions NOK, 2021) et de plusieurs procédures CNIL contre des éditeurs d’applications. La case « rendre mon profil public » doit être désactivée par défaut.

Cette règle s’applique aussi aux partages internes. Un fichier déposé sur un drive d’entreprise ne doit pas, par défaut, être partagé avec « tous les collaborateurs ». Un projet documentaire doit débuter en mode « privé », l’élargissement étant un choix explicite. C’est ce que je conseille systématiquement aux DSI dans les politiques de gouvernance des données collaboratives.

L’articulation avec l’Art. 5(1)© — minimisation

L’Art. 25(2) opérationnalise le principe de minimisation posé par l’Art. 5(1)©. La distinction est importante. L’Art. 5(1)© est un principe directeur ; l’Art. 25(2) est une obligation de mise en œuvre paramétrique. Dans une procédure CNIL, les deux articles sont presque toujours visés conjointement, l’Art. 5(1)© servant de base normative et l’Art. 25(2) de fondement opérationnel.

Article 25(3) : le mécanisme de certification

Le dernier paragraphe est court mais ouvre une voie pratique souvent négligée.

« 3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article. »

Une certification — qu’il s’agisse d’un label délivré par la CNIL, d’une certification européenne approuvée par l’EDPB ou d’un mécanisme prévu par l’Art. 42 — constitue un élément de démonstration au sens de l’Art. 24. Elle ne crée pas une présomption irréfragable de conformité, mais elle inverse partiellement la charge de la preuve : le détenteur d’une certification est présumé avoir mis en œuvre les mesures requises, sauf à ce que la CNIL démontre une défaillance précise.

En France, le label CNIL « gouvernance Informatique et Libertés » avait été précurseur ; il est aujourd’hui remplacé par les certifications délivrées sur le fondement de référentiels approuvés. Les certifications ISO 27701 (extension de l’ISO 27001 sur la gestion de la vie privée) sont également régulièrement reconnues dans les contrôles CNIL comme éléments probatoires de la conformité Art. 25, sans pour autant équivaloir à une certification au sens strict de l’Art. 42. Dans ma pratique, je conseille à toute organisation traitant des volumes significatifs de données — au-delà de 50 000 personnes concernées — d’engager une démarche de certification ou, à tout le moins, d’audit externe annuel.

Sanctions et jurisprudence : ce que disent les juges

L’Art. 25 est devenu l’un des fondements les plus mobilisés par la CNIL et les autorités européennes. Quelques décisions structurent aujourd’hui l’interprétation.

CJUE C-340/21 NAP du 14 décembre 2023 : la Cour de justice a statué sur le standard de preuve en matière d’Art. 32, mais sa motivation s’étend par analogie à l’Art. 25. Le responsable de traitement supporte la charge de prouver l’adéquation des mesures techniques et organisationnelles ; la simple survenance d’un incident ne suffit pas à établir le manquement, mais l’absence de documentation des choix techniques crée une présomption défavorable.

CNIL SAN-2022-009 Discord (800 000 €) : référence absolue pour l’Art. 25(2) sur la durée de conservation par défaut. Conservation illimitée des données de comptes inactifs, absence de purge automatique. La formation restreinte a explicitement écarté l’argument de coût technique mis en avant par Discord, en relevant que la fonctionnalité était techniquement triviale.

CNIL SAN-2022-012 Dedalus Biologie (1,5 M€) : référence sur l’Art. 25 combiné à l’Art. 32. Absence de cloisonnement des accès, partages de fichiers non sécurisés entre laboratoires partenaires.

CNIL SAN-2024-001 Hubside (525 000 €) : illustration claire de l’absence de revue périodique des paramètres par défaut.

CNIL SAN-2024-008 SAF Logistics (200 000 €) : sanctions liées notamment à des questionnaires RH excessivement intrusifs — collecte par défaut de données non nécessaires aux finalités RH déclarées.

Norwegian DPA Grindr (2021, 15,5 M NOK) : sanction pionnière sur la non-conformité de l’accessibilité par défaut. Le profil utilisateur était partagé avec des partenaires publicitaires dès l’inscription, sans choix initial.

AEPD (Espagne) Glovoapp (2023, 2,5 M€) : application de l’Art. 25 aux paramètres de géolocalisation des coursiers, activés par défaut sans choix.

L’enseignement opérationnel de cette jurisprudence est limpide : la CNIL et ses homologues vérifient désormais systématiquement trois éléments en contrôle — la durée de conservation paramétrée par défaut, les habilitations d’accès par défaut, et les paramètres de visibilité par défaut. C’est devenu une routine de contrôle.

Plan opérationnel : six chantiers pour 2026

Pour mettre en œuvre l’Art. 25 de façon démontrable, je recommande six chantiers concrets que toute organisation devrait avoir engagés en 2026.

Chantier 1 — Cartographie des paramètres par défaut. Pour chaque traitement inscrit au registre des traitements, documenter les paramètres par défaut sur les quatre dimensions de l’Art. 25(2) : quantité, étendue, durée, accessibilité. Cette cartographie est la base de toute démonstration ultérieure.

Chantier 2 — Purge automatisée des données. Mettre en œuvre des scripts de suppression automatique, planifiés et journalisés, pour chaque catégorie de données. Le manuel ne suffit plus depuis SAN-2022-009 Discord.

Chantier 3 — Privacy review intégrée au cycle projet. Introduire un point de contrôle obligatoire dans le processus de gestion de projet IT, validé par le DPO ou le référent RGPD. Toute nouvelle fonctionnalité, tout nouveau sous-traitant — au sens de l’Art. 28 RGPD —, tout transfert de données impose une revue. Tracer la décision dans un outil de ticketing.

Chantier 4 — Pseudonymisation des environnements de test. Aucune donnée de production en environnement de test, recette ou pré-production. Procédures d’extraction et de pseudonymisation systématiques. C’est aujourd’hui un standard incontournable, particulièrement pour les développements impliquant l’IA — voir conformité IA.

Chantier 5 — Politique d’accès par défaut « privé ». Tout document, tout dossier, toute base de données débute en visibilité restreinte. L’élargissement est un choix explicite, tracé, motivé. Configuration native des outils collaboratifs (Google Workspace, Microsoft 365) à revoir. Cette logique vaut tout particulièrement lorsque les paramètres par défaut servent à des prises de décisions automatisées au titre de l’Art. 22 RGPD : le profilage activé par défaut est juridiquement très exposé.

Chantier 6 — Audit annuel de l’effectivité. Vérification annuelle, sur échantillonnage, de la concordance entre les politiques déclarées et les paramètres réels. Cet audit, formalisé dans un rapport, constitue un élément de démonstration central en cas de contrôle CNIL.

Ces six chantiers ne sont pas exhaustifs, mais ils couvrent 80 % du contentieux observé. Une organisation qui les mène à bien franchira la quasi-totalité des points de contrôle Art. 25 en cas de procédure.

Ce qu’il faut retenir

• L’Art. 25 RGPD impose deux obligations distinctes : la protection dès la conception (Art. 25(1)) et la protection par défaut (Art. 25(2)). Les deux sont cumulatives.
• L’obligation s’applique à deux moments : lors de la conception du traitement et tout au long de sa vie. Une simple mise à jour ou un changement de sous-traitant déclenche une nouvelle obligation d’examen.
• Quatre dimensions structurent le « par défaut » : quantité de données collectées, étendue du traitement, durée de conservation, accessibilité.
• La sanction de référence reste SAN-2022-009 Discord (800 000 €) sur l’absence de purge automatisée des comptes inactifs.
• Une certification approuvée Art. 42 constitue un élément de démonstration mais ne crée pas de présomption de conformité absolue.
• Six chantiers prioritaires pour 2026 : cartographie des paramètres, purge automatisée, privacy review projet, pseudonymisation des environnements de test, accès par défaut privé, audit annuel d’effectivité.

FAQ

Quelle différence entre privacy by design et privacy by default ?

Le privacy by design (Art. 25(1)) concerne la conception du système : l’intégration des principes RGPD dès la phase de spécification fonctionnelle. Le privacy by default (Art. 25(2)) concerne les paramètres par défaut une fois le système déployé : durée de conservation, étendue du traitement, accessibilité, quantité de données. Le premier est une obligation de méthode, le second une obligation de configuration. Les deux sont cumulatives et s’appliquent ensemble à tout traitement.

L’article 25 RGPD s’applique-t-il aux PME ?

Oui, sans exception. L’Art. 25 ne prévoit aucun seuil de taille. Les facteurs de modulation — coûts, état des connaissances — permettent une adaptation aux moyens de la PME, mais ne dispensent jamais de l’obligation. La CNIL a sanctionné des structures de moins de 50 salariés sur ce fondement. La proportionnalité s’apprécie sur les choix techniques, pas sur l’application du principe lui-même.

Comment démontrer la conformité à l’article 25 en cas de contrôle CNIL ?

La démonstration repose sur trois types d’éléments : la documentation des choix de conception (analyse de risques préalable, comptes rendus de privacy review, fiches projet), les journaux techniques attestant des paramètres réels (captures d’écran, exports de configuration, journaux de purge), et les revues périodiques (rapports d’audit interne, comptes rendus de comité de pilotage RGPD). L’absence de l’un de ces volets crée une présomption défavorable depuis l’arrêt CJUE NAP du 14 décembre 2023.

Quelles sanctions sont prévues pour un manquement à l’Art. 25 ?

L’Art. 83(4)(a) RGPD prévoit une amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. En pratique, les sanctions oscillent entre 100 000 € pour des PME et 1,5 million d’euros pour des éditeurs de taille significative — voir sanctions CNIL 2026.

L’utilisation d’un outil certifié dispense-t-elle de l’Art. 25 ?

Non. Une certification Art. 42 — ou une certification ISO 27701 — constitue un élément probatoire mais ne dispense pas le responsable de traitement de ses obligations propres. La certification couvre le produit ; le responsable de traitement reste responsable de sa configuration, de son intégration dans son système d’information et du paramétrage par défaut. La CNIL contrôle systématiquement ces choix d’intégration.

---

Restez à jour sur les obligations RGPD. Recevez chaque semaine mes analyses sur les sanctions CNIL, la jurisprudence européenne et les bonnes pratiques de mise en conformité. Inscrivez-vous à la newsletter donneespersonnelles.fr.