Mon avocat RGPD m'éclaire sur le respect du RGPD pour un développeur web

La CNIL a élaboré un guide à destination des développeurs web, de manière à leur expliquer les grands principes du RGPD ainsi que les points d'attention à prendre en compte dans la conception et le déploiement du produit dont ils ont la charge.

La CNIL permet également aux développeurs de participer à l'élaboration du guide à partir du moment où ils disposent d'un compte GitHub. Chaque contribution sera examinée avant publication.

Ce n'est pas toujours facile pour un développeur de concevoir un produit (application, plateforme...) qui soit conforme au RGPD quand d'une part on ne sait pas véritablement de quoi il s'agit, et d'autre part on ne sait pas par où commencer.

Pourtant, le développeur est au cœur de la réussite du projet : c'est lui construit et qui conçoit le produit en fonction des directives qui lui sont données mais également en fonction de ce qui lui semble développable dans des délais souvent limités.

C'est la raison pour laquelle la CNIL a souhaité publié un guide à destination des développeurs de manière à les aider dans l'appréhension et la mise en place du RGPD.

Votre avocat spécialiste du RGPD à Paris vous synthétise les grandes lignes et explique aux développeurs web comment respecter le RGPD

Développer en conformité avec le RGPD

Chaque développeur doit se sensibiliser aux grands principes du RGPD

Votre avocat RGPD à Paris a rédigé un court article synthétique qui permettra aux développeurs de prendre leurs marques en leur expliquant deux règles en matière de protection des données personnelles.

Les développeurs doivent cartographier et catégoriser les données personnelles et les traitements 

d'expérience, votre avocat RGPD à Paris vous conseille de prendre cette étape au sérieux : elle vous permettra de vous rassurer et d'avoir les idées claires sur les opérations de traitement de données personnelles en cours. 

Les développeurs doivent définir un ordre de priorité des actions à mener 

La définition d'un ordre de priorité des actions à mener est primordial pour avancer dans de bonnes conditions.

Les développeurs doivent veiller aux risques qu'implique le traitement de données personnelles

Pour se faire, votre avocat RGPD à Paris peut vous conseiller et vous assister tout au long de votre projet.

Les développeurs doivent pouvoir prouver la conformité au RGPD à tout moment en documentant les actions menées

Le développeur ne doit pas agir seul : il doit être accompagné par toute l'entreprise pour assurer la preuve de la conformité.

Savoir identifier les données personnelles et respecter le principe de minimisation des données : votre avocat RGPD à Paris vous éclaire 

Identifier une donnée personnelle pour un développeur web

Une donnée personnelle est toute information se rapportant à une personne physique (son nom, prénom, photo, adresse OP, empreinte digitale, identifiant de cookie, numéro de téléphone, email...)

L'identification peut se faire à partir d'une seule donnée ou à partir d'un croisement de données.

Les développeurs ne doivent pas commettre les deux erreurs suivantes :

- ce n'est pas  parce qu’une donnée n'est pas "sensible" qu'il ne s'agit pas d'une donnée personnelle ;

- une donnée pseudonymisée reste une donnée personnelle contrairement aux données anonymisées.

Une donnée sensible est par exemple une donnée de santé ou une donnée relative à la vie sexuelle, à l'orientation religieuse ou politique d'une personne.

Minimisation des données

Les développeurs doivent avoir quelques réflexes de base comme notamment : 

Penser à ne collecter et à ne prévoir l'utilisation des seules données qui sont strictement nécessaires pour une catégorie de personnes. 

Penser à traiter et à stocker les données de façon à réduire leur précision (par exemple avec la pseudonymisation)

Ne pas stocker pas de données sensibles dans les données de journalisation : informez en votre équipe de développeurs.

Mettre en place une durée de conservation adéquate : votre avocat RGPD à Paris peut vous renseigner.

Effacement des données

Votre avocat RGPD vous donne quelques conseils :

Mettez en place un système de purge automatique 

Effacez toutes les données qui ne sont plus nécessaires

Si les données sont encore utiles, les développeurs doivent penser à les pseudonymiser 

Journalisez les procédures d'effacement automatique

Préparer et sécuriser son développement et gérer son code source 

Intégrez les principes de protection des données dès la conception du produit (privacy by design) ainsi que les principes de protection des données par défaut : votre avocat RGPD à Paris vous éclaire

De manière générale, lorsque vous êtes développeur web, vous devez penser à mettre en oeuvre les actions suivantes de manière à vous conformer au RGPD. Ainsi, les développeurs web doivent :

Veiller à sécuriser le code source en gérant les accès et en traçant les opérations 

Penser à prendre en compte les risques liés à l'emploi d'outils en mode Saas (slack, trello, github).

Favoriser l'authentification forte et mettez en place une analyse automatique des journaux de connexion

Utiliser un gestionnaire de code source

Metter en place une authentification forte ou par clés SSH dès le début du projet

Faire des sauvegardes régulières

Mettre en place des procédures de développement 

Penser à chiffrer / déchiffrer automatiquement les fichiers (par exemple avec git-crypt)

Passer en revue l'intégralité du contenu du code avant de le publier en ligne

Sécuriser votre code source

Chaque développeur doit :

Penser à toujours bien documenter le code et l'architecture et à en assurer leur sécurité : chaque développeur doit jouer le jeu !

Maintenir la documentation en même temps que le code et versionnez la documentation avec le code 

Améliorer la qualité de votre code et de la documentation

En tant que développeur web vous devez penser à :

Éviter la redondance de code 

Penser à avoir recours à des outils pour contrôler la qualité du code

Sécuriser les sites web, applications, serveurs

Sécuriser les communications et les authentifications

Mettre en place le protocole TLS en remplacement de SSL : chaque développeur doit avoir le réflexe. 

Mettre en place des mots de passe complexes conformément aux recommandations de la CNIL et stockez les sous forme de hash (par exemple par bcrypt)

Toujours penser à forcer l'utilisation d'HTTPS : informez-en tous les développeurs.

Sécuriser les infrastructures : votre avocat RGPD à Paris vous donne quelques conseils 

En tant que développeur web vous devez : 

Mettre en place des sauvegardes chiffrées et vérifiées régulièrement

Mettre en place une veille de vulnérabilité

Protéger les base de données (filtrage IP par exemple)

Restreindre ou interdire l'accès physique et logique aux ports de diagnostic et de configuration à distance

Apporter une attention particulière aux données de test (staging)

Ne jamais utiliser des données réelles de production sur staging : une telle action consiste en un détournement de finalité.

Toujours penser à anonymiser les données si vous avez besoin d'importer des configurations existantes depuis la production

Penser à obtenir le consentement pour le dépôt de cookies

Avant de déposer un cookie pensez à informer les personnes concernées, obtenir leur consentement et leur permettre de s'y opposer facilement.

Ces exigences s'appliquent également à certains cookies de mesure d'audience (analytics).

Votre avocat spécialiste du RGPD à Paris travaille quotidiennement avec des développeurs webs (front-end, back-end, full stack) et sait s'adapter aux spécificités de chaque produit ; effectuer des remontées de bug utiles en production et sur staging ; et a un bon sens pratique de des développements à effectuer de manière à se conformer aux exigences du RGPD.