Le principe de Privacy by Default ou principe de protection des données par défaut est prévu par l'article 25 du RGPD.
Il signifie que l’organisation doit mettre en oeuvre par défaut les paramètres les plus élevés pour protéger la vie privée des personnes.
Par exemple, seules les données strictement nécessaires pour chaque objectif spécifique du traitement sont traitées ou encore une durée de conservation brève et un accès limité au besoin d'en connaître.
Cela implique donc que le responsable de traitement doit garantir, par défaut, le plus haut niveau de protection avec la mise en place de mesures de sécurité de manière systématique en cas de traitement de données personnelles.