Depuis l’entrée en vigueur du RGPD, les entreprises qui traitent des données personnelles de citoyens sont soumises à certaines obligations. Les développeurs sont en première ligne dans la gestion ou le traitement de données personnelles. C’est donc afin d’accompagner les acteurs du développement web ou applicatif dans la mise en conformité de leurs travaux que la CNIL a publié, le 28 janvier 2020 soit lors de la journée de la protection des données, un nouveau guide de bonnes pratiques à destination des développeurs et des chefs de projets.
En effet, le RGPD concerne désormais tous les développeurs et les chefs de projet. Cela implique qu’ils doivent comprendre les notions de « données personnelles », de « finalité » et de « traitement ». Cette compréhension est indispensable pour le développement d’une application respectueuse de la loi et des données des utilisateurs.
Par ailleurs, le principe du « privacy by design » est au cœur du règlement général sur la protection des données (RGPD). Il implique de protéger les données personnelles dès la conception d’une application ou d’un service numérique. Les acteurs de l’entreprise en première ligne sont les développeurs et départements R&D, le guide des bonnes pratiques de la CNIL a donc pour but de leur offrir les clés de compréhension.
Ce guide comprend 16 fiches thématiques. Ces fiches n’ont pas vocation à répondre à l’intégralité des exigences du RGPD, mais permettent d’avoir une vrai vue d’ensemble et d’alimenter la réflexion lors de la mise en place d’un projet web ou applicatif.
Le guide comporte une fiche introductive qui s’intitule « Développer en conformité avec le RGPD ». Elle donne les étapes qui aident dans le développement d’applications ou de sites webs respectueux de la vie privée du RGPD, puis de cartographier et catégoriser les données et les traitements du système. La seconde étape consiste à prioriser les actions à mener et gérer les risques avant d’organiser des processus internes. La dernière étape consiste à documenter la conformité des développements.
Parmi les autres fiches on retrouve l’identification des données personnelles, la sécurisation de son environnement de développement,, la gestion du code source, le fait de faire un choix éclairé de son architecture, la sécurisation des sites webs application et serveurs, la minimisation des données collectées, la gestion des utilisateurs.
D’autres thèmes sont abordés tels que la maîtrise des bibliothèques et des SDK, la protection de la qualité du code et de sa documentation, le test des applications, l’information des personnes, la gestion de la durée de conservation des données, la prise en compte des bases légales ans l’implémentation technique ou encore la mesure de la fréquentation des sites webs et applications.
Ce guide existe en deux versions: une sur le site de la CNIL et une version GitHub qui offre la possibilité à chacun d’y contribuer. Chaque proposition sera examinée avant sa publication. La CNIL précise que ces bonnes pratiques n’ont pas vocation à répondre à l’ensemble des exigences règlementaires, ni à être prescriptives. Cependant, elles apportent une réflexion sur les exigences du RGPD à garder en tête lors du développement de projet.
Ce guide a vocation a servir comme base de travail à chaque département R&D et développeur logiciel, mais il est nécessaire pour chacun de concevoir et documenter sa propre méthode de développement « privacy by design » en fonction du produit qu’il développe. de plus, dans certaines structures relativement conséquences, le guide ne sera qu’un support, dans la mesure ou d’autres obligations pourront jouer, notamment auprès des employeurs comme le délégué à la protection des données ou la nécessité de conduire une analyse d’impact lorsque des traitements informatiques sont susceptibles de faire courir un risque élevé aux personnes.