Pour les développeurs web, la mise en conformité avec le RGPD peut constituer un casse-tête ou une source d’inquiétude. Il y a quelques mois, la CNIL avait déjà publié un guide de bonnes pratiques à leur attention. Elle renouvelle l’exercice avec un ensemble de 16 fiches thématiques accessibles sur son site web ou sur le site de partage de projets GitHub. Sur ce 2ème canal, les professionnels pourront enrichir à partir de leur propre expérience ce guide publié sous licence libre. Les propositions de contribution seront examinées par la Cnil avant d’être publiées. Le guide a vocation à accompagner les développeurs à chaque étape de leur projet, de la préparation du développement à la mesure de l’audience, explique la Commission nationale de l'informatique et des libertés. Les 16 fiches sont numérotées de 0 à 15.
L’étape 0 consiste avant toute chose à bien comprendre les notions de données personnelles, de finalité et de traitement. C'est l'objet de la 1ère fiche. Il faut ensuite intégrer les principes de protection des données personnelles dès les phases de conception du développement. Ce qui revient à adopter une méthodologie de « Privacy by design ». La Cnil rappelle que l’Anssi a également livré un guide « sécurité & agilité numériques » qui explique comment intégrer les aspects sécurité dans les développements adoptant une approche agile. Une fiche thématique est consacrée à la sécurisation de l’environnement de développement lui-même (sécurité des serveurs de production, de développement, d’intégration continue et des postes de travail des développeurs). Viennent ensuite les bonnes pratiques sur la gestion du code source, le choix « éclairé » de l’architecture, ainsi que la sécurisation des sites web, des applications et des serveurs.
Minimiser la collecte des données
Sur la collecte des données, la Cnil rappelle qu’il convient de la minimiser en ne recueillant que celles qui sont adéquates, pertinentes et nécessaires au regard des finalités du traitement. Les conseils s’appliquent ensuite à la manière de gérer les profils des utilisateurs, tant collaborateurs qu’utilisateurs finaux. Cette gestion des utilisateurs doit être pensée en amont des développements. Des fiches thématiques sont consacrées à la maîtrise des bibliothèques et SDK, à la qualité du code et à sa documentation, ainsi qu’au test des applications.
Les fiches suivantes concernent les utilisateurs et les données elles-mêmes : information des personnes, préparation de l’exercice de leurs droits, gestion de la durée de conservation des données. Une fiche thématique est consacrée à la prise en compte des bases légales. « Pour pouvoir être mis en oeuvre, les traitements de données personnelles doivent se fonder sur l’une des bases légales (contrat, intérêt légitime, consentement, obligation légale, mission d’intérêt public, sauvegarde d’intérêts vitaux…) mentionnées à l’article 6 du RGPD, souligne la Cnil en expliquant qu’il convient de choisir la mieux adaptée. Enfin, la dernière fiche thématique concerne la façon de mesurer la fréquentation des sites web et des applications. Ces outils utilisent des cookies et sont donc soumis à la règle du consentement, sauf cas particulier.
Les développeurs souhaitant apporter leur contribution à cet ensemble de conseils et bonnes pratiques peuvent le faire via la version GitHub du guide.