La CNIL inquiète de la gestion des données personnelles par les développeurs

Le 13 mai 2019, la CNIL a consacré plusieurs articles aux développeurs et notamment sur les bonnes conduites à adopter lorsque ces derniers développent des programmes ou sites web qui pourraient traiter des données personnelles. Il est probable que la CNIL a décidé d’écrire ces articles afin de remédier au manque de sécurité, des sites ou applications, constaté lors des sanctions qu’elle a appliqué durant l’année 2018.

En effet, sur les 12 condamnations qu’elle a prononcées, 8 cas faisaient état d’ « un défaut de sécurité des données » soit sur des sites internet soit sur des applications mobiles. Or, ces défauts de sécurité auraient pu être évités, si lors du développement un protocole plus sécurisé avait été mis en place tel que celui recommandé par la CNIL.

Les conseils de la CNIL pour les développeurs afin qu’ils soient en conformité avec le RGPD :

La CNIL préconise de choisir ses outils de travail. Il arrive que lors de l’utilisation d’un outil en ligne, il y ait un partage de données, le problème étant de savoir ce qu’il advient de ces données une fois partagées. Pour choisir un outil il faut s’assurer que le niveau de sécurité de l’outil garantit la confidentialité des données. Pour mémoire, ces informations se trouvent dans les conditions d’utilisation. La CNIL conseille de préparer son développement en incluant la sécurité dès le début de la conception (privacy by design).

Par ailleurs, la CNIL recommande d’utiliser une méthodologie dite agile pour réaliser le développement comme la méthodologie « Scrum » qui est la méthode la plus utilisée selon certains parmi les méthodes agiles. La CNIL donne aussi des bonnes pratiques pour gérer le code source, il est recommandé lorsque le code commence à prendre une certaine ampleur d’utiliser un outil de gestion du code source. L’utilisation de cet outil exige entre autre de ne pas enregistrer de données personnelles ou d’informations confidentielles dans le code source. A titre d’exemple, dans sa délibération n°SAN-2018-001 du 8 janvier 2018, la CNIL avait précisé que Darty ne devait pas permettre que l’on puisse récupérer des données personnelles dans les liens internet utilisés pour accéder aux tickets des consommateurs.

D’une part, la CNIL précise la meilleure manière d’intégrer les bibliothèques, SDK (software development kit) et outils tiers dans les applications. Il est ainsi recommandé de cartographier les différentes bibliothèques et SDK tiers utilisés. D’autre part, la CNIL préconise de renforcer la qualité du code en le développant soi-même. De plus, il apparaît nécessaire de documenter le code et l’architecture et de maintenir cette documentation à jour. Celle-ci doit permettre la compréhension de ce qui a été réalisé dans les développements précédents.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».