Gérer mon entreprise
Pour les prestataires de services

RGPD : un guide pour les développeurs

Date de mise à jour : 02/07/2021 Date de vérification le : 07/09/2023 10 minutes

La CNIL a publié un guide pratique pour que les sites Web ou les applications créés par les développeurs soient respectueux de la vie privée. Ce guide prend la forme de fiches pratiques destinées à évoluer…

Rédigé par l'équipe WebLex.
RGPD : un guide pour les développeurs


RGPD : une guide pratique évolutif pour les développeurs

Pour qui ? Le guide élaboré par la CNIL s’adresse principalement aux développeurs travaillant seuls ou en équipe, aux chefs d’équipe, aux prestataires, mais également à toute personne s’intéressant au développement web ou applicatif.

Pour quoi ? Il comporte des conseils et des bonnes pratiques destinés aux développeurs et offre ainsi des clés de compréhension du Règlement Général sur la Protection des Données (RGPD).

Où le trouver ? Le guide est disponible en 2 versions :

Une contribution possible… Il est possible de contribuer à l’enrichissement de ce guide. Pour cela, il faut s’inscrire sur la plateforme Github. Sur la page web consacrée au guide il faut :

  • utiliser l’onglet « Issue » pour ouvrir des commentaires ou participer à la discussion ;
  • utiliser l'option « Fork » pour faire vos propres modifications et proposer leur inclusion via le bouton « Pull Requests ».

Examen de la contribution. La proposition de contribution au guide est examinée par la CNIL pour validation.


RGPD : quel est le contenu du guide pour les développeurs

Un contenu décomposé en fiches pratiques. Le guide pour les développeurs comporte 17 fiches pratiques qui couvrent la plupart des besoins des développeurs pour les accompagner à chaque étape de leur projet, de la préparation du développement à la mesure de l’audience.

Quels sont les thèmes des 17 fiches pratiques ? Les thèmes des fiches pratiques sont les suivants :

  • Développer en conformité avec le RGPD

Il s’agit d’une fiche générale rappelant les principes du RGPD.

  • Identifier les données personnelles

Cette fiche donne des exemples de données personnelles (nom, prénom, adresse IP, photos, etc.) et rappelle l’existence des processus d’« anonymisation » et de « pseudonymisation » des données pour les protéger.

  • Préparer son développement

Cette fiche rappelle que, selon la méthodologie de développement retenue, il faut penser à intégrer des processus de sécurité pour s’assurer de la bonne protection des données personnelles.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié un guide intitulé « AGILITÉ & SÉCURITÉ NUMÉRIQUES » à ce sujet.

  • Sécuriser son environnement de développement

Cette fiche s’intéresse à la sécurité des serveurs de production, de développement, d'intégration continue, ainsi que des postes de travail des développeurs.

  • Gérer son code source

Cette fiche rappelle qu’il est recommandé d’utiliser des outils de gestion de code source pour suivre dans le temps les différentes versions du site Web ou de l’application (par exemple, Subversion, Git ou Mercurial).

  • Faire un choix éclairé de son architecture

Cette fiche évoque la conception de l'architecture du site Web ou de l’application. A cette étape, le développeur doit identifier les données personnelles qui seront collectées et définir un parcours et un cycle de vie pour chacune d'entre elles.

Le choix des supports de données (stockage local, serveur, service cloud) est une étape cruciale, qui doit être adaptée aux besoins du développeur, mais aussi à ses connaissances techniques. Le registre des activités de traitement et une analyse d'impact peuvent l’accompagner dans ce choix.

  • Sécuriser vos sites web, vos applications et vos serveurs

Cette fiche donne des exemples de sécurisation des communications du site Web ou de l’application développé (par exemple, par LetsEncrypt).

Elle donne aussi des exemples de sécurisation des authentifications (via des mots de passe complexes) et des infrastructures (sauvegarde régulière, outil de gestion des vulnérabilités, accès restreints aux outils de développement, etc.).

  • Minimiser les données collectées

Cette fiche rappelle que les développeurs, comme toutes personnes amenées à collecter des données personnelles, ne doit collecter que les données personnelles qui sont pertinentes et nécessaires.

  • Gérer les utilisateurs

Cette fiche rappelle qu’il faut définir différents profils d'accès et d’habilitation afin que chaque personne ne puisse accéder qu'aux seules données dont elle a effectivement besoin.

  • Maîtriser vos bibliothèques et vos SDK

Cette fiche évoque les kits de développement (« software development kits » ou « SDK » en anglais), et donne quelques conseils pour intégrer ces outils tout en gardant la maîtrise du développement du site Web ou de l’application.

  • Veiller à la qualité de votre code et sa documentation

Cette fiche rappelle qu’il faut documenter le code et l’architecture du site Web ou de l’application afin de réduire la charge de maintenance une fois que le projet est terminé ainsi que réduire les bugs.

  • Tester vos applications

Cette fiche rappelle que tester son produit permet de réduire les risques d’atteinte aux données personnelles. En outre, les données de test doivent elles aussi être protégées.

  • Informer les personnes

Cette fiche rappelle le principe de transparence du RGPD qui exige que toute information ou communication relative au traitement de données à caractère personnel soit concise, transparente, compréhensible et aisément accessible en des termes simples et clairs.

  • Préparer l'exercice des droits des personnes

Cette fiche rappelle que, pour qu’une personne dont des données collectées puisse utiliser l’un de ses droits (droit à l’effacement, droit d’opposition, droit à la portabilité de ses données, etc.), il faut que le développeur ait préalablement créé les outils qui lui permette d’en user.

  • Gérer la durée de conservation des données

Le développeur doit prévoir la mise en place d’un outil de conservation et de suppression des données.

À titre d’exemple, les données relatives à la gestion de la paie ou au contrôle des horaires des salariés peuvent être conservées pendant 5 ans, les données figurant dans un dossier médical doivent être conservées 20 ans, les coordonnées d’un prospect ne répondant à aucune sollicitation peuvent être conservées pendant 3 ans, etc.

  • Prendre en compte les bases légales dans l’implémentation technique

Cette fiche rappelle que pour pouvoir mettre en œuvre un traitement de données personnelles, il faut se référer à l’une des « bases légales » mentionnées par le RGPD.

La base légale d’un traitement est en quelque sorte la justification de l'existence même du traitement.

À titre d’exemple, pour le développement d’un site e-commerce, la base légale est le contrat conclu entre le client et le commerçant.

  • Mesurer la fréquentation des sites web et des applications.

Cette fiche rappelle que les outils de mesures d’audience sont utilisés afin d’obtenir des informations sur la navigation des visiteurs sur un site Web ou une application mobile.

Utilisant des cookies, ils sont soumis à la règle du consentement. Notez que cette réglementation doit être renforcée dans les mois à venir.

À retenir

La CNIL a mis en ligne, sur son site (www.cnil.fr), un guide pratique de sensibilisation au RGPD à destination des développeurs. Il identifie et explicite les grandes étapes de création d’un site Web ou d’une application en 17 fiches pratiques pour que les développeurs protègent les données personnelles des utilisateurs des sites Web et applications qu’ils créent et gèrent.
 

Pour un contenu personnalisé, inscrivez-vous gratuitement !
Déjà inscrit ? Connectez-vous
Créer un compte
Voir les sources
Votre cabinet mérite un site Internent sur-mesure. Nous vous l'offrons !
Abonnez vous à la newsletter
Accéder à WebLexPro
Accéder à WeblexPro
3 rue Claude Chappe
44470 CARQUEFOU
Accueil : 09.82.54.16.00
Service commercial : 09.82.50.82.01
Rejoignez-nous