RGPD : Qu’est-ce qu’un développeur doit maitriser ? (formation RGPD pour développeurs)

rgpd et développeurs

La question du jour porte sur la formation RGPD des développeurs et CTO : Qu’est-ce qu’un développeur doit connaitre du RGPD ?

Quand je vois que la 3ème cause d’amende RGPD en Europe sont les « mesures techniques insuffisantes », j’ai tendance à penser que c’est un sujet à ne pas prendre à la légère.

La mise en application du RGPD dans l’entreprise passe par façon dont il sera traduit dans le code et dans la stack technique.

Le problème, c’est qu’il n’est pas aisé pour les développeurs de s’auto-former au RGPD :

  1. Le règlement n’est pas rédigé pour être actionnable directement
  2. il a des notions juridiques complexes
  3. il y a des zones de flou qui subsistent (consentement, stockage des données hors UE…)

Sans pour autant noyer les développeurs sous des notions juridiques, il faut leur donner les clés pour qu’ils intègrent la protection des données personnelles dans leur travail.

Voici quelques pistes pour former un développeur au RGPD :

Les développeurs doivent se protéger des pièges du RGPD

La méconnaissance du RGPD peut faire prendre des risques techniques et juridiques inconsidérés à l’entreprise.

Exemple 1 :

Un éditeur de logiciel français est condamné par la CNIL à cause de défauts de sécurité ayant conduit à la fuite de données médicales. L’entreprise est condamnée à une amende de 1.5 million d’euros et la sanction est rendue publique.

La sanction est prononcée à la fois au vue des insuffisances techniques mais aussi à des manques liés à la conception du logiciel qui le rend incompatible avec le RGPD (champs libres, filtres lors des exports…etc)

Voici une citation des défauts majeurs justifiant cette sanction :

« l’absence de procédure spécifique s’agissant des opérations de migration de données,

l’absence de chiffrement des données à caractère personnel stockées sur le serveur FTP (…)

l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur FTP (…)

l’utilisation de comptes utilisateurs partagés entre plusieurs salariés s’agissant de la zone privée de ce même serveur et

l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur. »

Exemple 2 :

Meta (Facebook, Instagram, etc) s’empêtre en 2019 dans un scandale qui fait le tour du monde : ils ont stocké les mots de passe en clair. Les employés de l’entreprise ont pu avoir accès aux mots de passes de millions d’utilisateurs. C’est une faille de sécurité béante qui entache la confiance dans leurs produits.

Exemple 3 :

audit rgpd

La localisation des données est une préoccupation montante (et cela impacte directement vos choix techniques).

Est-ce que vous avez le droit de stocker vos données en dehors d’Europe ?

Est-ce qu’il faut couper AWS, Google Analytics ou Stripe ?

Est-ce que les logiciels utilisés par les développeurs sont compatibles avec le RGPD ? (GitHub, Postman, Jira, Asana, Docker, Cloudfront, Notion, Google Tag Manager, Google Font…)

Le RGPD doit être traduit concrètement dans le code

Si vos développeurs ne connaissent pas les règles du jeu, ils travaillent à l’aveugle.

Voici pour moi les bases de ce que devrait contenir une bonne formation rgpd développeur :

  • Identifier et classer les données personnelles
  • Les règles de Privacy by Default
  • Consentement, cases à cocher
  • Localisation des données
  • Règles autour des champs libres
  • Règles sur les services tiers
  • Durée de conservation, purge, bases de données
  • Transferts, API, enrichissement de données
  • Authentification, habilitations
  • Comment faire évoluer les logiciels pré-RGPD
  • Permettre l’exercice des droits
  • Chiffrement, Pseudonymisation, Anonymisation
  • Règlementation autour des algorithmes
  • Projection autour de l’IA et la vie privée
  • Nouvelles pratiques techniques (Zero-Trust, etc)

Avoir le RGPD dans un coin de la tête

Le RGPD prévoit le « privacy by default », c’est-à-dire que dès la conception d’un programme il faut être en mesure de faire les choix les plus protecteurs des données personnelles.

Il faut donc prévoir les contraintes du RGPD assez tôt dans le développement de l’application car cela va être structurant pour les bases de données, les modalités de stockage et d’authentification, la capacité à répertorier les données personnelles et permettre d’exercer les différentes manipulations (droits d’accès, archivage, suppression, etc)

C’est sans compter qu’il va falloir faire évoluer progressivement les applications existantes : gestion des champs libres (notamment de commentaires), faire des choix sur le chiffrement de certains types de données, prendre des positions sur les durées de conservations autorisées, etc

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.