RGPD : la CNIL édite un guide pour les développeurs

Comment développer tout en respectant la protection des données des utilisateurs ? La réponse avec la CNIL, qui édite un guide complet à l’intention des développeurs. Au programme : 16 fiches pour écrire du code en règle et les aider à concevoir sites, applications et services numériques en conformité avec le RGPD.

RGPD : comment appliquer le règlement ?

Depuis le 25 mai 2018 dans les pays de l’Union européenne, le traitement des données doit respecter le Règlement Général sur la Protection des Données, dit RGPD.

Le sujet reste brûlant, deux ans plus tard, occasionnant débats techniques et juridiques : pour éclairer le public, et tout particulièrement les développeurs, quant à la manière d’appliquer ce règlement, la CNIL publie donc un guide complet.

Au programme : 16 fiches pratiques pour aider les développeurs à concevoir sites, applications et services numériques en conformité avec le RGPD.
Ce guide aborde la question par thèmes : pratique pour éviter de lire l’intégralité des articles qui forment le RGPD (une centaine) !

Développeurs, vous bénéficiez ainsi d’une première approche des grands principes du RGPD et des différents points d’attention à prendre en compte dans le déploiement d’applications qui respectent la vie privée des utilisateurs.

Modeste, la CNIL précise toutefois qu’il ne s’agit que d’une première version !

Au programme : une première approche des grands principes du RGPD


Développer en conformité avec le RGPD. Seul ou en équipe, vous devez vous assurer durant toute la vie du projet que les données utilisateurs ainsi que toutes les opérations effectuées sur celles-ci soient protégées en permanence.

Identifier les données personnelles. “Données personnelles”, “finalité”, “traitement” : ici, la CNIL vous propose de comprendre différentes notions indispensables pour le développement d’une application respectueuse de la loi et des données des utilisateurs.

Préparer son développement. Il est nécessaire d’intégrer les principes de la protection des données personnelles dès les phases de conception des développements informatiques. A la clé, la vie privée des utilisateurs peut ainsi être protégée, tout en leur conférant une meilleure maîtrise de leurs données et en limitant les erreurs, pertes, modifications non autorisées ou mauvais usages des données.

Gérer son code source. Le recours à un outil de gestion de code source est fortement recommandé pour suivre les différentes versions d’une application.

Faire un choix d’architecture éclairé. Il s’agit à ce stade d’identifier les données personnelles qui seront collectées et de définir un parcours et un cycle de vie pour chacune d’entre elles.

Sécuriser sites web, applications et serveurs. Chacun doit intégrer les règles élémentaires de sécurité, tant en matière de communications, d’authentifications que d’infrastructure.

Minimiser les données collectées. Il ne faut en effet collecter que les données adéquates, pertinentes et nécessaires en fonction des finalités du traitement qui auront été définies au moment de la collecte.

Gérer les utilisateurs. La gestion des collaborateurs et des utilisateurs finaux doit être envisagée en amont des développements, pour que chacun n’accède qu’aux données dont il a réellement besoin.

Maîtriser les bibliothèques et les SDK. Vous devez intégrer bibliothèques, kits de développement et autres composants logiciels écrits par des tiers tout en gardant la maîtrise de vos développements.

Veiller à la qualité de votre code et de sa documentation. Toutes les astuces pour adopter au plus tôt une bonne hygiène d’écriture de code.

Testez vos applications. L’objectif : vous assurer de leur bonne fonctionnement, garantir une expérience utilisateur optimale et éviter les erreurs avant et après la mise en production, tout en réduisant les risques d’atteinte aux données personnelles.

Informer les personnes. Selon le principe de personne de RGPD, il est obligatoire de rendre concise, transparente, compréhensible et accessible toute information ou communication relative au traitement des données à caractère personnel.

Préparer l’exercice des droits des personnes. Droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement… Donnez aux utilisateurs les moyens d’exercer leurs droits.

Gérer la durée de conservation des données. Cette durée doit être définie en fonction des objectifs définis pour le traitement des données.

Prendre en compte les bases légales dans l’implémentation technique. L’article 6 du RGDP pose les bases légales du traitement des données personnelles, qui vont impacter directement les conditions de mise en oeuvre du traitement et les droits des personnes.
Mesurer la fréquentation des sites web et des applications. L’objectif : comprendre de quelle manière les utilisateurs arrivent sur un site et reconstituer leur parcours.

Mesurer la fréquentation des sites web et des applications. L’objectif : comprendre de quelle manière les utilisateurs arrivent sur un site et reconstituer leur parcours.

Vous avez un compte GitHub ? Vous êtes invités à participer au guide RGPD du développeur : la CNIL examinera chaque contribution avant publication.