Du coté de la protection des données personnelles, tout change (enfin) avec la mise en oeuvre du cadre légal européen, le RGPD en français ou GDPR en anglais, qui devient exécutoire en mai 2018. Une première loi qui sera suivie de mesures se rapportant à la circulation et au transfert des données dans un deuxième temps.
La nature internationale et extra-territoiriale de ces nouveaux cadres législatifs les imposent de fait comme un standard pour le respect des données personnelles et privées dans le monde entier : La loi protège les droits à la confidentialité des européens quelque soit le lieu où leurs données sont collectées. Il était temps.
Avec les fuites de données incontrolées et les faits de violations de la confidentialité que nous rapportent les médias tous les jours, les obligations des entreprises qui collectent ces données relèvent tout autant d’une éthique de base que du respect de la loi et des choix politiques des communautés. Sont concernées naturellement les entreprises qui collectent des données personnelles pour leurs activités en ligne, mais aussi les développeurs web que nous sommes qui mettent en oeuvre pour elles les moyens logiciels de cette collecte.
• Le bon esprit de la loi
L’avènement de cette réglementation européenne implique en premier lieu que nous devons tous être très attentif aux données que nous collectons, à la façon dont nous les collectons et à ce que nous en faisons, le tout dans une transparence établie publiquement et des procédés portés à la connaissance de l’utilisateur de nos services en ligne. La loi rejoint une éthique du respect de l’individu.
Les développeurs web ont aussi un rôle important à jouer dans cette affaire. Les moyens à mettre en oeuvre pour la protection des données du coté du développement, le code, le traitement de la donnée et la sécurité, sont de notre ressort après tout. De la même façon que ce traitement implique l’entreprise pour ses affaires avec la collecte des informations pour sa stratégie commerciale. En tous cas c’est ce que nous pensons.
• RGPD, comment la réglementation européenne impacte vos publications en ligne et le développement des fonctionnalités proposées à l’utilisateur…
Que faut-il savoir à propos du RGPD, ce nouveau cadre de protection des données ? En tant que développeur qu’allons nous faire pour vous, vos affaires, dans le cadre des outils et publications en ligne que nous avons développés pour votre compte ?
Essayons de comprendre les challenges posés par la réglementation pour améliorer nos publications au regard du respect de la confidentialité des données de l’utilisateur. C’est bien ce dont il s’agit.
Données personnelles, le nouveau contour de la confidentialité.
Mais que sont les données personnelles ? Il s’agit de “toutes les informations en relation avec une personne physique identifiable ou identifée”. Et cela peut-être une bribe d’information ou plusieurs éléments d’information combinés dans un enregistrement.
Au delà de la donnée personnelle on parle également de donnée personnelle “sensible” que l’on peut définir comme information sur une personne. Cela inclus : l’origine éthnique ou la race, les opinions politiques, les croyances religieuses, l’appartenance à un groupement, les données sur la santé, l’orientation sexuelle, les implications dans des affaires criminelles. La protection de ces informations doit être d’autant plus stricte, et les conséquences d’une divulgation ou d’une mauvaise utilisation sont plus graves…
La réglementation RGPD inclus également dans ces données les données génétiques et biométriques (comme la reconnaissance faciale ou les empreintes digitales), les données de localisation, les pseudo et les identifiants d’accès…
• RGPD, des pistes pour un traitement des données conforme au réglement européen
Comme on peut le lire sur le site web de la CNIL : “Il faut en finir avec l’alarmisme sur le RGPD ! (…) Se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. (…) Un couperet ne va pas tomber sur les entreprises le 26 mai.“
Pour une conformité à la réglementation des étapes simples sont à respecter :
- tout d’abord de répertorier les données collectées et leurs traitements,
- faire le tri dans les données pour ne conserver que celles strictement utiles à l’activité en ligne,
- respecter les droits des personnes (information sur les traitements, accès aux données, contrôle et suppression des données…)
- sécuriser le stockage des données
Selon l’activité en ligne, du simple site vitrine à l’application de commerce en ligne, le respect de la réglementation ira de la simple mise à jour des mentions légales et des mentions “CNIL” sur les formulaires, à la mise à jour plus complète de l’information et du consentement sur la collecte des données nécessaires au traitement des transactions, voire à un renforcement de la sécurité du stockage selon les cas. L’effort et l’énergie impliqués dans cette mise en conformité sont également dépendants du volume et de la qualité des données collectées.
Dans les cas les plus compliqués, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA – Data Protection Impact Assessment – Analyse d’impact relative à la protection des données) doit être menée.
La mise en place du RGPD est aussi l’occasion pour les TPE et PME de progresser dans leur maturité numérique.
Et en tant que développeurs nous accompagnons l’entreprise dans cette progression. Et selon le projet, et ses aspects techniques, sur le front end (l’interface utilisateur) ou pour les traitements dans le back office de l’application, nous mettrons à profit notre rigueur professionnelle, et la nouvelle réglementation nous y invite naturellement, ainsi qu’une transparence quotidienne dans nos choix techniques. Finalement, loin d’être un fardeau, ces nouvelles obligations ne sont finalement que l’application du bon sens et devraient être positivement bienvenues !
Note importante : cet article propose une introduction à la réglementation RGPD, il est sans valeur juridique et ne remplace pas un conseil spécialisé.
A lire en ligne sur le sujet :
La CNIL est l’autorité française de référence pour la mise en application de la réglementation.
Un guide pratique CNIL Bpifrance adapté aux TPE/PME : Des fiches thématiques sur les grands principes du RGPD, un plan d’action en 4 étapes et des fiches pratiques
RGPD : par où commencer
En anglais : How GDPR Will Change The Way You Develop – comment le GRPD changera votre façon de développer