mercredi, février 8, 2023
Votre DPO clé en mainContacter DPO PARTAGE
AccueilConformité RGPDDéveloppement application conforme RGPD, plan d'action conformité

Développement application conforme RGPD, plan d’action conformité

Assurez-vous d’avoir une bonne compréhension des obligations en matière de protection des données personnelles édictées par le RGPD.

  • Lire les dispositions du RGPD pour vous familiariser avec les différentes obligations qui s’appliquent aux organisations en matière de protection des données personnelles.
  • Assister à des formations ou des conférences sur le RGPD pour en apprendre davantage sur les bonnes pratiques en matière de protection des données personnelles.
  • Consulter des professionnels de la protection des données pour obtenir des conseils sur les obligations spécifiques qui s’appliquent à votre application.

Afin de vous aider à être conforme au règlement général sur la protection des données (RGPD) lorsque vous développez une application de rencontre, voici quelques exemples concrets pour chaque étape de votre conformité à étudier avant ou pendant la conception de l’application

Lors de la conception de votre application, assurez-vous de prendre en compte les obligations en matière de protection des données personnelles édictées par le RGPD. 

Inclure une clause de confidentialité dans les conditions d’utilisation de votre application, qui précise les finalités pour lesquelles vous collectez et utilisez les données personnelles des utilisateurs, ainsi que les droits des personnes concernées en ce qui concerne ces données.

Mettre en place des outils pour gérer les préférences des utilisateurs en matière de protection des données personnelles (par exemple, en leur permettant de choisir les notifications qu’ils souhaitent recevoir, ou les données qu’ils souhaitent partager avec d’autres utilisateurs).

Intégrer des fonctionnalités de sécurité dès la conception de votre application (par exemple, en utilisant des outils de chiffrement pour protéger les données personnelles, ou en mettant en place des procédures d’authentification solides pour accéder aux données).

Tenir compte des obligations en matière de protection des données personnelles dans le processus de développement de votre application, en travaillant en étroite collaboration avec votre responsable de la protection des données et en vous assurant que les bonnes pratiques en matière de protection des données sont intégrées dès le début du développement.

Ce que vous ne pouvez pas faire pour être conforme au RGPD

  • Collecter des données personnelles sans avoir un objectif précis et légitime : vous ne pouvez pas collecter des données personnelles de manière abusive ou sans avoir un objectif précis et légitime. Par exemple, vous ne pouvez pas collecter des données personnelles uniquement dans le but de les revendre à des tiers, ou sans avoir l’intention de les utiliser pour une finalité précise.
  • Traiter des données personnelles sans l’accord de la personne concernée : vous ne pouvez pas traiter des données personnelles sans l’accord de la personne concernée, à moins que cela ne soit autorisé par la loi ou que cela soit nécessaire pour une raison d’intérêt public ou pour la protection des droits et des libertés d’autrui.
  • Conserver des données personnelles plus longtemps que nécessaire : vous ne pouvez pas conserver des données personnelles plus longtemps que nécessaire pour les finalités pour lesquelles elles ont été collectées. Vous devez mettre en place des procédures pour gérer la durée de conservation des données personnelles, et veiller à les supprimer lorsqu’elles ne sont plus nécessaires.
  • Transférer des données personnelles vers un pays tiers sans respecter les conditions du RGPD : vous ne pouvez pas transférer des données personnelles vers un pays tiers (c’est-à-dire un pays en dehors de l’Union européenne) sans respecter les conditions prévues par le RGPD. Ces conditions peuvent inclure la vérification du niveau de protection des données personnelles dans le pays tiers, la conclusion d’une clause contractuelle type avec le destinataire du transfert, ou l’obtention du consentement de la personne concernée.

Si vous deviez transférer des données personnelles en dehors de l’Europe, vous devriez respecter les conditions suivantes :

  • Vérifiez si le pays tiers en question offre un niveau de protection des données personnelles suffisant : avant de transférer des données personnelles vers un pays tiers, vous devez vérifier si le niveau de protection des données personnelles dans ce pays est suffisant. Si le pays tiers n’offre pas un niveau de protection suffisant, vous ne pouvez transférer des données personnelles vers ce pays que si certaines conditions supplémentaires sont remplies (par exemple, si le destinataire du transfert a conclu une clause contractuelle type avec vous, ou si la personne concernée a donné son consentement au transfert).
  • Concluez une clause contractuelle type avec le destinataire du transfert : si le pays tiers en question ne offre pas un niveau de protection des données personnelles suffisant, vous devez conclure une clause contractuelle type avec le destinataire du transfert. Ces clauses contractuelles sont des modèles de contrat élaborés par la Commission européenne et qui garantissent un niveau de protection adéquat des données personnelles transférées.
  • Obtenez le consentement de la personne concernée : si le pays tiers en question ne offre pas un niveau de protection des données personnelles suffisant, et si vous ne pouvez pas conclure de clause contractuelle type avec le destinataire du transfert, vous devez obtenir le consentement de la personne concernée pour le transfert de ses données personnelles. Ce consentement doit être clair et explicite, et la personne doit avoir la possibilité de retirer son consentement à tout moment.


Développement application conforme RGPD tous les points

Décider des finalités pour lesquelles vous allez utiliser ces données personnelles.

Par exemple, vous pourriez utiliser ces données pour permettre aux utilisateurs de créer un profil, pour envoyer des notifications, pour fournir des recommandations, etc.

Exemple : Dans le cadre d’une application de rencontre, la finalité serait :

  • Rédiger une clause de confidentialité dans les conditions d’utilisation de votre application, qui précise les finalités pour lesquelles vous collectez et utilisez les données personnelles des utilisateurs.
  • Offrir un service de rencontre en ligne qui permet aux utilisateurs de créer un profil, de remplir des critères de recherche spécifiques et de trouver des personnes correspondant à leurs critères.

Établissez un plan de gestion des données personnelles pour votre application. 

Mettre en place des procédures pour gérer les demandes des personnes concernées en ce qui concerne leurs données personnelles (par exemple, le droit d’accès, de rectification, d’effacement, etc.).

Désigner un responsable de la protection des données pour votre organisation, qui sera chargé de superviser la mise en œuvre de votre plan de gestion des données personnelles.

Mettre en place des mesures de sécurité pour protéger les données personnelles collectées (par exemple, en utilisant des outils de chiffrement, en limitant l’accès aux données aux seules personnes autorisées, etc.).

Établir des procédures de gestion des incidents de sécurité (par exemple, en définissant les actions à entreprendre en cas de fuite de données, et en communiquant rapidement aux personnes concernées en cas de violation de la sécurité des données). Consulter notre article sur ce point.

Établissez un inventaire des données personnelles que votre application va collecter, traiter et stocker. 

Identifier les différentes catégories de données personnelles que votre application va collecter. Par exemple, vous pourriez collecter des données telles que le nom, le prénom, l’adresse e-mail, la date de naissance, etc.

Voici un exemple de catégories :

  • Les données d’identité, telles que le nom, le prénom, l’adresse postale, l’adresse email et le numéro de téléphone.
  • Les données de localisation, telles que l’adresse IP, le lieu géographique et les données de géolocalisation collectées par les appareils mobiles.
  • Les données d’identification en ligne, telles que les identifiants de compte, les noms d’utilisateur et les mots de passe.
  • Les données financières, telles que les informations de carte de crédit et les détails de compte bancaire.
  • Les données de santé, telles que les informations sur les antécédents médicaux, les allergies et les médicaments en cours.
  • Les données d’opinions et d’évaluations, telles que les commentaires et les évaluations laissés par les utilisateurs sur l’application.

Sécurisez les données personnelles des utilisateurs.

– Des procédures pour évaluer régulièrement la conformité du plan de gestion des données personnelles avec les exigences du RGPD et pour apporter des modifications au plan si nécessaire. Ces procédures devraient inclure des audits internes et des évaluations par des tiers indépendants.

– Un plan d’action pour gérer les incidents de sécurité des données personnelles, tels que les fuites de données, les attaques de piratage et les erreurs de traitement des données. Ce plan devrait inclure des procédures pour détecter et signaler les incidents de sécurité, pour enquêter sur les causes des incidents et pour prendre des mesures pour prévenir les récurrences.

Voici un exemple de plan d’action pour gérer les incidents de sécurité des données personnelles, tels que les fuites de données, les attaques de piratage et les erreurs de traitement des données :

  • Définition des responsabilités et des procédures d’alerte en cas d’incident : le plan d’action doit définir clairement les responsabilités de chaque personne ou équipe en cas d’incident de sécurité des données personnelles, ainsi que les procédures d’alerte à mettre en place pour signaler rapidement l’incident et déclencher les mesures d’intervention.
  • Élaboration d’un plan de réponse en cas d’incident : le plan d’action doit prévoir un plan de réponse en cas d’incident de sécurité des données personnelles, qui définit les étapes à suivre pour identifier l’incident, évaluer les risques et les impacts, contenir l’incident, remédier aux conséquences et prévenir les récidives.
  • Mise en place d’un système de suivi et de rapport des incidents : le plan d’action doit prévoir un système de suivi et de rapport des incidents de sécurité des données personnelles, qui permet de collecter et d’analyser les données sur les incidents pour en tirer des enseignements et améliorer les mesures de sécurité.
  • Communication auprès des autorités de contrôle et des personnes concernées : le plan d’action doit prévoir des procédures de communication auprès des autorités de contrôle et des personnes concernées en cas d’incident de sécurité des données personnelles, afin de les informer des mesures prises et de leur garantir un traitement transparent et équitable de leurs données personnelles.

 – Des procédures pour gérer les demandes des utilisateurs concernant leurs droits en matière de protection des données personnelles, tels que le droit d’accès, de rectification, d’effacement et de portabilité de leurs données. Ces procédures devraient inclure des délais pour répondre aux demandes des utilisateurs et des méthodes pour vérifier l’identité des utilisateurs avant de traiter leurs demandes.

Une description des mesures de sécurité mises en place pour protéger les données personnelles des utilisateurs contre la perte, l’utilisation abusive ou la divulgation non autorisée. Ces mesures devraient inclure des contrôles d’accès aux données, des procédures de sauvegarde et de restauration des données, ainsi que des politiques de gestion des incidents de sécurité

Quelques exemples :

  • Chiffrement des données personnelles : le chiffrement consiste à transformer les données personnelles en un code indéchiffrable pour les protéger contre les accès non autorisés. Cette mesure peut être mise en place lors du stockage des données personnelles sur des serveurs, des disques durs ou des supports de stockage externes.
  • Protection des accès aux données personnelles : la protection des accès aux données personnelles consiste à mettre en place des systèmes d’authentification et d’autorisation pour contrôler qui peut accéder aux données personnelles et comment ces accès sont gérés. Cette mesure peut inclure des mots de passe complexes, des clés d’accès uniques ou des systèmes de reconnaissance biométrique.
  • Formation des employés aux bonnes pratiques de protection des données personnelles : la formation des employés aux bonnes pratiques de protection des données personnelles consiste à sensibiliser les employés aux risques liés au traitement des données personnelles et à leur faire connaître les mesures de sécurité à mettre en place pour protéger ces données. Cette mesure peut inclure des sessions de formation, des manuels d’utilisation ou des évaluations de la conformité aux règles de protection des données personnelles.Mettre en place des outils pour gérer les préférences des utilisateurs en matière de protection des données personnelles (par exemple, en leur permettant de choisir les notifications qu’ils souhaitent recevoir, ou les données qu’ils souhaitent partager avec d’autres utilisateurs).

– Mettre en place des outils pour gérer les préférences des utilisateurs en matière de protection des données personnelles (par exemple, en leur permettant de choisir les notifications qu’ils souhaitent recevoir, ou les données qu’ils souhaitent partager avec d’autres utilisateurs).

Informez les utilisateurs sur la collecte et l’utilisation de leurs données personnelles.

Pour bien informer les utilisateurs sur la collecte et l’utilisation de leurs données personnelles, vous devez leur fournir une information claire et transparente sur les données que vous collectez, les finalités pour lesquelles vous les utilisez, et les tiers avec lesquels vous partagez ces données. Vous devez également leur donner la possibilité de prendre connaissance de cette information avant de donner leur consentement à la collecte et à l’utilisation de leurs données.

Il est recommandé de présenter cette information de manière concise et accessible, en utilisant des termes simples et en évitant les abréviations ou les termes techniques. Vous pouvez également utiliser des exemples concrets pour illustrer les données que vous collectez et les finalités pour lesquelles vous les utilisez. Enfin, vous devez veiller à mettre à jour régulièrement cette information pour refléter les éventuelles modifications de vos pratiques en matière de collecte et d’utilisation des données.

Voici un exemple d’information sur la collecte et l’utilisation des données personnelles pour une application de rencontre :

« Notre application de rencontre collecte et utilise vos données personnelles à des fins de mise en relation avec d’autres utilisateurs et de fourniture de nos services. Nous collectons les données suivantes :

Votre nom, votre adresse e-mail, votre date de naissance, et votre genre

Votre localisation, vos préférences en matière de rencontres, et vos intérêts

Vos photos et vos messages échangés avec d’autres utilisateurs

Nous utilisons ces données pour vous proposer des profils compatibles avec les vôtres, vous permettre de communiquer avec d’autres utilisateurs, et vous envoyer des notifications. Nous pouvons également partager ces données avec des tiers pour des raisons techniques ou de sécurité.

Si vous acceptez que nous collectons et utilisons vos données personnelles à ces fins, veuillez cocher la case ci-dessous pour donner votre consentement. Vous pouvez à tout moment retirer votre consentement en modifiant les paramètres de votre compte ou en nous contactant.

[x] J’accepte que vous collectiez et utilisiez mes données personnelles à ces fins. »

Dans cet exemple, les utilisateurs sont informés de manière claire et transparente sur les données que l’application collecte et utilise, ainsi que sur les finalités pour lesquelles ces données sont utilisées. Ils sont également

Une fois votre application lancée, assurez-vous de continuer à respecter les obligations en matière de protection des données personnelles édictées par le RGPD.

Mettre en place des procédures pour surveiller l’utilisation des données personnelles collectées par votre application. Par exemple, vous pourriez établir des règles pour limiter l’accès aux données aux seules personnes autorisées, ou mettre en place des systèmes de suivi pour vérifier que les données sont utilisées conformément aux finalités définies dans votre clause de confidentialité.

Traiter les demandes des personnes concernées en ce qui concerne leurs données personnelles. Le RGPD accorde aux personnes concernées un certain nombre de droits en ce qui concerne leurs données personnelles, tels que le droit d’accès, de rectification, d’effacement, etc. Vous devez mettre en place des procédures pour gérer ces demandes de manière efficiente et conforme au RGPD.

Mettre à jour régulièrement votre plan de gestion des données personnelles pour tenir compte des évolutions de votre application et des obligations en matière de protection des données personnelles édictées par le RGPD. Par exemple, vous pourriez revoir régulièrement les mesures de sécurité mises en place pour protéger les données personnelles, ou mettre à jour votre clause de confidentialité pour refléter les changements dans les finalités pour lesquelles vous utilisez les données personnelles.

Obtenez leur consentement avant de collecter ces données.

Pour obtenir le consentement des utilisateurs sur la gestion de leurs données personnelles lors du développement d’une application pour smartphone, vous devez leur fournir une information claire et transparente sur la collecte et l’utilisation de leurs données. Cela inclut les informations sur le type de données que vous collectez, la finalité pour laquelle vous les utilisez, et les tiers avec lesquels vous partagez ces données. Vous devez également leur donner la possibilité de donner leur consentement de manière claire et explicite, en utilisant par exemple une case à cocher ou un bouton à activer.

Il est important de noter que le consentement des utilisateurs doit être libre, spécifique, informé et univoque. Cela signifie que les utilisateurs doivent avoir la possibilité de donner ou de retirer leur consentement à tout moment, sans subir de pression ou de conséquences négatives. Vous devez également veiller à ce que le consentement soit spécifique, c’est-à-dire qu’il couvre uniquement les données et les finalités pour lesquelles vous demandez le consentement. Enfin, le consentement doit être donné de manière informée, c’est-à-dire que les utilisateurs doivent être pleinement informés des conséquences de leur choix avant de donner leur consentement.

En conclusion, pour obtenir le consentement des utilisateurs sur la gestion de leurs données personnelles, vous devez leur fournir une information claire et transparente sur la collecte et l’utilisation de leurs données, et leur donner la possibilité de donner leur consentement de manière libre, spécifique, informée et univoque.

Voici un exemple de demande de consentement pour une application de rencontre :

« En utilisant notre application de rencontre, vous acceptez que nous collectons et utilisons vos données personnelles à des fins de mise en relation avec d’autres utilisateurs et de fourniture de nos services. Vos données seront utilisées pour vous proposer des profils compatibles avec les vôtres, vous permettre de communiquer avec d’autres utilisateurs, et vous envoyer des notifications. Vos données peuvent également être partagées avec des tiers pour des raisons techniques ou de sécurité.

Si vous acceptez que nous collectons et utilisons vos données personnelles à ces fins, veuillez cocher la case ci-dessous pour donner votre consentement. Vous pouvez à tout moment retirer votre consentement en modifiant les paramètres de votre compte ou en nous contactant.

[x] J’accepte que vous collectiez et utilisiez mes données personnelles à ces fins. »

Dans cet exemple, la demande de consentement informe clairement les utilisateurs sur la collecte et l’utilisation de leurs données personnelles, ainsi que sur les tiers avec lesquels ces données peuvent être partagées. Les utilisateurs sont également informés qu’ils peuvent à tout moment retirer leur consentement en modifiant les paramètres de leur compte ou en contactant l’application. La demande de consentement est donc claire, transparente, et respectueuse des droits des utilisateurs en matière de protection des données.

Les autres obligations pour un développement application conforme RGPD

Il y a beaucoup d’obligation et nous avons survolé.

Registre de traitements

Le RGPD prévoit que les responsables de traitement (c’est-à-dire les personnes ou les entreprises qui déterminent les finalités et les moyens de traitement des données personnelles) doivent tenir un registre des traitements mis en œuvre. Ce registre doit comporter les informations suivantes :

  • Les finalités du traitement
  • Les catégories de données personnelles traitées
  • Les destinataires ou les catégories de destinataires auxquels les données sont ou seront communiquées
  • Si applicable, le transfert de données à un pays tiers ou à une organisation internationale
  • La durée de conservation des données
  • Si applicable, les mesures techniques et organisationnelles mises en place pour garantir un niveau de sécurité adéquat

Le registre des traitements doit être mis en place dès que vous mettez en œuvre un traitement de données personnelles, et doit être tenu à jour en cas de modifications de ce traitement. Si vous êtes un petit responsable de traitement (c’est-à-dire si vous employez moins de 250 personnes et que le traitement ne présente pas de risque pour les droits et les libertés des personnes concernées), vous pouvez tenir un registre sous forme documentaire, électronique ou papier. Si vous êtes un grand responsable de traitement, vous devez tenir un registre sous forme électronique.

Conclusion : Développement application conforme RGPD

Lorsque vous lancez votre application smartphone, vous devez vous assurer que vous respectez les obligations du RGPD en matière de protection des données personnelles. Voici quelques éléments sur lesquels il est important de faire attention :

  • Informez les utilisateurs de votre application sur la collecte et l’utilisation de leurs données personnelles : vous devez informer les utilisateurs de votre application de manière claire et transparente sur la collecte et l’utilisation de leurs données personnelles. Cela inclut les informations sur le type de données que vous collectez, la finalité pour laquelle vous les utilisez, et les tiers avec lesquels vous partagez ces données.
  • Obtenez le consentement des utilisateurs avant de collecter leurs données : vous devez obtenir le consentement des utilisateurs avant de collecter leurs données personnelles. Ce consentement doit être clair et explicite, et les utilisateurs doivent avoir la possibilité de retirer leur consentement à tout moment.
  • Sécurisez les données personnelles des utilisateurs : vous êtes tenu de prendre des mesures de sécurité adéquates pour protéger les données personnelles des utilisateurs contre toute fuite, perte, ou accès non autorisé. Cela inclut l’utilisation de chiffrement pour protéger les données, ainsi que la mise en place de procédures de gestion des incidents de sécurité.
  • Respectez les droits des utilisateurs en matière de protection des données : les utilisateurs ont certains droits en matière de protection de leurs données personnelles, tels que le droit d’accès, de rectification, d’effacement, ou de limitation du traitement de leurs données. Vous devez respecter ces droits et mettre en place des procédures pour y répondre.

Vocabulaire important RGPD

Voici les principaux termes du RGPD et leur définition :

  • RGPD : Règlement général sur la protection des données (General Data Protection Regulation) est un règlement de l’Union européenne qui établit les normes de protection des données personnelles pour les entreprises et les organisations de l’UE, ainsi que pour les transferts de données vers des pays tiers.
  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (directement ou indirectement), comme par exemple son nom, son adresse, son adresse e-mail, ou son numéro de téléphone.
  • Traitement de données personnelles : toute opération ou ensemble d’opérations effectuées sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, alignment ou combinaison, restriction, effacement ou destruction).
  • Responsable de traitement : la personne ou l’entreprise qui détermine les finalités et les moyens du traitement de données personnelles.
  • Sous-traitant : la personne ou l’entreprise qui effectue des traitements de données personnelles pour le compte du responsable de traitement.
  • b l’expression de la volonté libre, spécifique, informée et univoque de la personne concernée par le traitement de ses données personnelles.
  • Délégué à la protection des données (DPO) : la personne chargée de surveiller le respect du RGPD dans l’entreprise ou l’organisation.
  • Registre des traitements : le document ou l’outil électronique dans lequel le responsable de traitement enregistre les informations relatives aux traitements de données personnelles mis en œuvre.
  • Mesures de sécurité : les mesures techniques et organisationnelles mises en place pour protéger les données personnelles contre toute fuite, perte, ou accès non autorisé. Ces mesures peuvent inclure le chiffrement des données, la mise en place de procédures de gestion des incidents de sécurité, ou encore la formation des personnels aux bonnes pratiques en matière de protection des données. Il est important de choisir des mesures adaptées au contexte et aux risques liés au traitement de données personnelles, afin de garantir un niveau de sécurité adéquat.

Ressourcesdéveloppement application conforme RGPD

« Cet article a pour but de vous accompagner dans la mise en conformité de votre application au RGPD. Il ne constitue pas un avis juridique et ne saurait remplacer les conseils d’un juriste, d’un avocat, ou d’un délégué à la protection des données (DPO). Les exemples fournis dans cet article sont donnés à titre illustratif et sont issus des recommandations de la CNIL. Nous vous conseillons de vous rapprocher d’un professionnel pour obtenir des conseils adaptés à votre situation. »

DPO Partagé
DPO Partagé
Vous cherchez un DPO, confiez votre mission à DPO PARTAGE - Contactez nous au 07 56 94 70 90 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles.
Vous pouvez aimer

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Derniers articles

Derniers commentaires