Approche qui intègre la protection de la vie privée dès la conception des systèmes et processus, plutôt que de l'ajouter après coup. Codifié par Ann Cavoukian dans 7 principes fondateurs : proactif (prévenir plutôt que corriger), privacy as default (paramètres les plus protecteurs par défaut), intégré à la conception, full functionality (pas de compromis sécurité/fonctionnalité), end-to-end security, visibilité et transparence, respect pour la vie privée de l'utilisateur. En pratique : minimisation des données collectées (ne collecter que le nécessaire), pseudonymisation dès l'ingestion, durées de conservation définies avant le projet, DPIA réalisées avant le développement, accès basé sur le besoin d'en connaître. Le RGPD impose la Privacy by Design comme obligation légale (Article 25). Elle s'oppose à la pratique courante de collecter tout le possible et de gérer la conformité en aval.