L'impact du RGPD sur le développement de vos applications
Écrit par Constance le
Le RGPD est une modernisation de la directive européenne de 1995. Le Règlement Général sur la Protection des Données reprend les mêmes principe que la loi de 1995, sauf que cette fois-ci, nous devons les appliquer à l’environnement des applications web et mobiles. Découvrez en quoi le RGPD va changer notre façon de coder.
Trois questions à se poser avant de se lancer dans le développement
Quelle est la nature des données collectées ?
Le RGPD fait référence à toutes les données susceptibles d’identifier une personne physique ; par exemple, nom, prénom, adresse email…
Le règlement souligne que les données dites sensibles bénéficient d’une supervision plus forte. Voici la liste des données sensibles dans la directive :
origine ethnique ou raciale,
opinions politiques,
croyances philosophiques ou religieuses,
appartenance syndicale,
données relatives à la santé,
données relatives à la sexualité,
données relatives au casier judiciaire,
données relatives à la génétique,
à la biométrie (reco faciale),
localisation,
anonymisation,
identifiants web ;
Facebook a du souci à se faire… Mais en termes de développement, la vigilance des développeurs devront donc faire attention aux/à :
adresses IP,
identifiants mobiles,
empreintes navigateur (OS, données relatives, version OS ⇒ tu peux avoir un profil, traçabilité sur le net ⇒ IDs),
tags (RFID : Radio-frequency identification),
adresses MAC,
cookies,
la télémétrie,
les identifiants des comptes utilisateurs ;
Comment ces données ont-elles été collectées ?
Avant toute chose, il faut rappeler que le RGPD met l’accent sur la captation du consentement utilisateur. Pour cela, le côté front-end de votre application doit absolument contenir :
un tableau de bord des données,
des paramètres d’ajustement de la confidentialité,
un accès à la politique de confidentialité de votre application;
Côté back-en de votre application, cela signifie :
avoir la preuve que l’utilisateur a donné (ou n’a pas donné) son consentement,
prendre en compte les demandes de l’utilisateur (personnalisation des paramètres, droit à l’oubli, droit à la suppression, droit à la modification…);
L’objectif étant de donner une gestion complète des données à vos utilisateurs.
Autre point important : le RGPD nous oblige à prévoir des systèmes sécurisés pour la collecte des données notamment un système de monitoring de connexion, des audits de transfert des données, des contrats respectant le RGPD avec les hébergeurs, les plateformes de stockage, les partenaires commerciaux.
Comment ces données sont-elles utilisées ?
Cette question fait référence aux traitements des données et à leur transférabilité. Il est important d’en avertir l’utilisateur, et il faut constituer un document qui relate les procédures d’utilisation de ses données : algorithme, analyse, transfert…
Comment la façon d’organiser un projet va-t-elle changer ?
Les méthodes de travail doivent être réorganisées : des best practices en design et en développement doivent être identifiés afin de respecter le cadre légal du RGPD. Afin d’être aux normes, il faudra également rédiger une Évaluation des Facteurs relatifs à la Vie Privée. Il s’agit d’un document disponible pour toutes les personnes qui sont impactées par le projet. Ce document doit réunir les discussions, les audits, et les analyses des risques sur la confidentialité qui traitent de la collecte de données.
Design
Avec la RGPD, le framework “Privacy by design” va devenir tout autant obligatoire que la protection des données pour vos applications web ou mobiles. Il s’agit d’anticiper les problèmes de confidentialité avant de commencer les développements.
7 règles à suivre :
La confidentialité doit être proactive et préventive ; il faut anticiper les problèmes avant qu’ils n’atteignent les utilisateurs.
La confidentialité sera désormais un paramètre “par défaut”; par défaut, il faut entendre que la confidentialité est déjà paramétrée, mais qu’il est possible de faire des ajustements (voir règle n° 5).
La confidentialité doit être un axe primordial dans votre application.
Il faut toujours garder en tête que la notion de sécurité est tout aussi importante que la notion de confidentialité.
Le minimum d’informations doit être demandé aux utilisateurs ; votre plateforme doit collecter les informations nécessaires et suffisantes à son fonctionnement, pas plus. Il faut également faciliter le parcours utilisateur dans la gestion de ses données.
Les critères de confidentialité de votre application devront être accessibles, transparents et vérifiables indépendamment.
La confidentialité doit être “user-centric”, autrement dit, même s’il existe un paramètre par défaut, l’utilisateur doit personnaliser ses critères de confidentialité.
EFVP: Évaluation des Facteurs relatifs à la Vie Privée
L’EFVP s’agence en 6 parties :
1. Collecte et information
Dans cette partie, il sera nécessaire de décrire :
les types de données
les procédures de collectes
les procédures de conservation
les procédures de traitement des données
Il faudra également préciser :
le temps de stockage
la procédure de récupération du consentement de vos utilisateurs
la légitimité des données collectées (avez-vous vraiment besoin de toutes les données que vous collectez ?)
la procédure de contrôle qu’ont les utilisateurs sur leurs données
2. Mesures techniques et de sécurités
Il s’agit de décrire les spécificités techniques et sécuritaires de votre plateforme : les données sont-elles chiffrées ? Y a-t-il un back-up de données ? Quel est le degré de sécurité de votre hébergeur ?
3. Procédure interne à l’entreprise
Dans cette troisième partie, il est demandé d’énumérer les personnes qui ont accès aux données de vos utilisateurs. Ensuite, il faudra préciser si ces personnes ont bénéficié d’une formation sur la protection des données, quel degré de sécurité a été mis en place, quelles sont les procédures de notifications et d’alertes.
4. Droit d’accès
Ici, il est question de détailler les différentes procédures suivantes :
accès aux données
portabilité / transfert des données
suppression des données
oubli des données
contestation des données
restriction à l’accès des données
5. Légal
Deux questions à se poser pour cette cinquième partie :
Les engagements envers le traitement des données, incluant des sous-contractants, sont-ils couverts par un contrat ?
Si les données sont transférées hors UE, quelles sont les mesures de protection et sécurité ?
6. Risques
Il s’agit de lister les risques qu’entraîneraient un détournement, un vol ou une perte de données. Il est question aussi de décrire les différents pare-feux qui seront mis en place pour limiter ces risques.
Conclusion
Le RGPD nécessite une formation continue pour que les développeurs, ainsi que les personnes manipulant de la donnée personnelle puissent se conformer au mieux au RGPD et à l’ePD. Il peut exister des particularités par secteurs, par région ou pays. Il est donc important de s’appuyer sur des frameworks et des méthodologies qui respectent le RGPD.
N’oubliez pas également que les tests et les périodes de maintenance sont nécessaires pour diminuer les risques sur les données collectées (vol ou perte) : quels bugs pourraient éventuellement entraîner une fuite ou une destruction des données ? Quels moyens pouvez-vous mettre en place pour éviter ces risques ?
Notre article ne constitue en rien une marche à suivre, nous essayons de vous donner les clés de bonnes pratiques avant de vous lancer dans la création ou la modification de votre plateforme suite au RGPD, qui sera mis en vigueur en mai 2018. Si vous avez des questions, n’hésitez pas à nous contacter.
Sources
Constance
Passionnée et experte en gestion de projet agile, animation d'ateliers et Product Design Sprint. Elle combine habilement design thinking, UX Design, marketing et rédaction pour proposer des solutions innovantes, percutantes et centrées sur les besoins des utilisateurs.
