Principe selon lequel la protection des données personnelles doit être appliquée à un système d’information pendant son exploitation, dans l’hypothèse où cette protection n’a pas été programmée. La confidentialité par défaut peut être obtenue soit par l’application de règles de fonctionnement telles que des restrictions d’usage, soit par la mise en place de dispositifs techniques complémentaires. A l’opposé en parlera de confidentialité programmée lorsque la protection des données personnelles doit être intégrée dans un système d’information dès sa conception.