Préparer son développement conforme RGPD

Préparer son développement conforme RGPD

Le

Le RGPD (Règlement général sur la protection des données) est un règlement de l’Union européenne qui vise à renforcer la protection des données personnelles des citoyens de l’UE. Pour effectuer des développements informatiques conformes au RGPD, il est important de suivre les lignes directrices suivantes :

  • Assurer la confidentialité des données personnelles en les stockant de manière sécurisée et en ne les partageant qu’avec les personnes autorisées à les accéder.
  • Offrir la possibilité aux utilisateurs de voir, de corriger ou de supprimer leurs données personnelles, selon leurs préférences.
  • Obtenir le consentement explicite des utilisateurs avant de collecter ou de traiter leurs données personnelles.
  • Informer les utilisateurs de manière claire et concise sur la façon dont leurs données personnelles seront utilisées et sur leurs droits en matière de protection des données.
  • Mettre en place des mesures de sécurité pour protéger les données personnelles contre les fuites, les pertes ou les attaques.

En suivant ces lignes directrices, les développeurs informatiques peuvent s’assurer que leurs développements sont conformes au RGPD et qu’ils protègent les données personnelles des utilisateurs de manière adéquate.

Choix méthodologiques

  • Mettez la protection de la vie privée au cœur de vos développements en adoptant une méthodologie de Privacy By Design.
  • Si vous utilisez des méthodes agiles pour vos développements, pensez à intégrer la sécurité au cœur de votre processus. L’ANSSI a rendu disponible un guide « sécurité & agilité numériques » qui indique comment conduire vos développements dans le cadre d’une méthode agile tout en prenant en compte les aspects sécurité. N’hésitez pas à vous en inspirer.
  • Pour tout développement à destination du grand public, menez une réflexion sur les paramètres relatifs à la vie privée, et notamment sur le paramétrage par défaut, comme par exemple les caractéristiques et les contenus des utilisateurs visibles par défaut.
  • Réalisez une analyse d’impact sur la protection des données (AIPD). Pour certaines opérations de traitement, elle est obligatoire. Dans les autres cas c’est une bonne pratique qui vous permettra d’identifier et de traiter tous les risques en amont de vos développements. La CNIL dispose d’une section spéciale sur son site et elle met à disposition un logiciel gratuit consacré à ce type d’analyse.

Choix technologiques

Architecture et fonctionnalités

  • Intégrez la protection de la vie privée, y compris les exigences de sécurité des données, dès la conception de l’application ou du service. Ces exigences doivent influer sur les choix d’architecture (par exemple décentralisée vs. centralisée) ou de fonctionnalités (par exemple anonymisation à bref délai, minimisation des données). Le paramétrage par défaut de l’application doit respecter les exigences minimales de sécurité et être en conformité avec la loi. Par exemple, la complexité par défaut des mots de passe doit respecter à minima la recommandation de la CNIL relative aux mots de passe.
  • Gardez la maîtrise de votre système. Il est important de garder la maîtrise de votre système, autant afin d’en assurer le bon fonctionnement que de garantir un haut niveau de sécurité. Garder un système simple permet d’en comprendre précisément les rouages et d’identifier ses points de fragilité. Dans le cas où une certaine complexité est nécessaire, il est conseillé de démarrer d’un système simple, correctement conçu et sécurisé. Ensuite, il est possible d’en augmenter la complexité petit à petit, tout en continuant de sécuriser les nouveautés qui s’ajoutent.
  • Ne vous reposez pas sur une seule ligne de défense. Malgré toutes les dispositions prises pour concevoir un système sécurisé, il peut arriver que certains composants rajoutés ultérieurement ne soient pas suffisamment sécurisés. Pour minimiser les risques sur les utilisateurs finaux, il est conseillé de défendre le système en profondeur. Exemple : contrôler les données entrées dans un formulaire en ligne fait partie des défenses de périphérie. Dans le cas où cette défense est détournée, une protection des requêtes en base de données pourra prendre le relais.

Outils et pratiques

Logiciel RGPD
  • Utilisez des normes de programmation prenant en compte la sécurité. Souvent, des listes de normes, bonnes pratiques ou guides de codage améliorant la sécurité de vos développements sont déjà disponibles. Des outils annexes peuvent également être intégrés dans vos environnements de développement intégrés (« IDE » en anglais) afin de vérifier automatiquement que votre code respecte les différentes règles faisant partie de ces normes ou bonnes pratiques. Vous trouverez facilement sur internet des listes de bonnes pratiques pour votre langage de programmation favori. Par exemple ici pour C, C++ ou Java. Pour le développement d’application web, des guides de bonnes pratiques spécifiques existent, tels que ceux publiés par l’OWASP.
  • Le choix des technologies utilisées est crucial. Un certain nombre de points sont à prendre en compte :
    • En fonction du domaine d’application ou de la fonctionnalité développée, un langage ou une technologie peut être plus approprié qu’une autre.
    • Les langages et technologies éprouvés sont plus sûrs. Ils ont fait, en général, l’objet d’audits afin de corriger les vulnérabilités les plus connues. Il faut cependant faire attention à utiliser les dernières versions de chacune des briques technologiques que vous utiliserez.
    • Il faut à tout prix éviter de coder sa solution définitive dans un langage tout juste appris et pas encore maîtrisé. Dans le cas contraire, vous vous exposez à un risque accru de faille de sécurité du fait du manque d’expérience.
  • Mettez en place un environnement de développement sécurisé et permettant le versionnage du code, en suivant la fiche dédiée de ce guide.
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Une faille majeure révèle les données de millions d’internautes : comprendre l’impact et les enjeux

Faille majeure révèle les données de millions d'internautes :...

La toile du renseignement français : entre premier et second cercle

Le renseignement français : Dans l'arène de la sécurité...

Écoutes, géolocalisations : une surveillance accrue en réponse aux menaces diversifiées en France

Écoutes, géolocalisations : Les récentes statistiques en France montrent...