RGPD : les développeurs ont leur guide made in CNIL

DéveloppeursProjetsRégulations
cnil-rgpd-developpeurs

La CNIL complète sa documentation RGPD avec un « guide du développeur » composé de 16 fiches thématiques.

Choisir son architecture, maîtriser son code source, gérer les profils utilisateurs… Autant d’éléments que la CNIL aborde dans son « guide RGPD du développeur ».

Le document – publié sous licence LGPL3 – est ouvert aux contributions. Il est destiné à accompagner la mise en conformité des développements web et applicatifs.

Les 16 fiches qui le composent comportent de nombreux renvois vers des contenus externes.

L’ANSSI est l’une des sources de ces contenus, parmi lesquels on trouve son guide « Agilité & Sécurité numériques ».
La CNIL en a enrichi sa fiche no 2, intitulée « Préparer son développement ». Il y est question des choix méthodologiques et technologiques servant de base aux projets. Entre autres :

  • intégration de la vie privée dès la conception de l’application ;
  • utilisation de normes de programmation prenant en compte la sécurité ;
  • mise en place d’un environnement sécurisé permettant le « versionnage » de code.

Pour un code source sûr

La sécurisation de l’environnement de développement fait l’objet d’une fiche (no 3). La CNIL y aborde :

  • l’évaluation des risques dans les outils et processus utilisés ;
  • la protection des serveurs et des postes de travail
  • la gestion des accès et la traçabilité des opérations (documentation de la gestion des clés SSH, utilisation de l’authentification forte, mise en place d’une analyse automatique des journaux…).

On retrouve des liens vers des recommandations spécifiques de l’ANSSI dans la fiche no 6. Elle englobe trois aspects de la sécurisation : les communications, les authentifications et les infrastructures.

La question du code source et de sa gestion est traitée dans la fiche no 4. La CNIL y recommande, en particulier :

  • d’utiliser un gestionnaire avec authentification forte et/ou par clés SSH ;
  • d’attribuer aux utilisateurs les permissions adéquates ;
  • de faire des sauvegardes régulières ;
  • d’exploiter des outils de métrique de qualité du code ;
  • de conserver secrets et mots de passe en dehors du dépôt de code source.

Anticiper les évolutions

La gestion des profils utilisateurs est l’objet de la fiche no 8. Points principaux :

– Définir des politiques de gestion d’accès aux données différenciées suivant les personnes et les besoins. Et les accompagner d’un système de journalisation.
– Document ou automatiser les procédures de mouvement des collaborateurs ainsi que la procédure d’inscription/désinscription des utilisateurs.
– Favoriser l’usage d’un gestionnaire de mots de passe au sein des projets.

Les conseils relatifs au choix de l’architecture se trouvent dans la fiche no 5. Parmi eux :

  • représenter et décrire en amont le fonctionnement attendu du projet, avec un schéma des flux de données doublée d’une description des processus mis en œuvre et des supports utilisés ;
  • vérifier certains points en cas de recours à un prestataire pour l’hébergement (localisation géographique des serveurs, sûreté physique du site d’hébergement, chiffrement des données, gestion des mises à jour, réversibilité…)

Le « guide RGPD du développeur » traite également :

  • L’identification des données à caractère personnel (fiche no 1)
  • La minimisation des données collectées (fiche no 7)
  • La maîtrise des bibliothèques et des SDK (fiche no 9)
  • Les bonnes pratiques sur la qualité du code et sa documentation (fiche no 10)
  • Le test des applications (fiche no 11)
  • L’information des utilisateurs (fiche no 12)
  • La préparation de l’exercice des droits des personnes (fiche no 13)
  • La conservation des données (fiche no 14)
  • La prise en compte des bases légales dans l’implémentation technique (fiche no 15)
  • La mesure de fréquentation (fiche no 16)

Photo d’illustration © IBM

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur 
Avis d'experts de l'IT