La CNIL inquiète de la gestion des données personnelles par les développeurs
Le 13 mai 2019, la CNIL a consacré plusieurs articles aux développeurs et notamment sur les bonnes conduites à adopter lorsque ces derniers développent des programmes ou sites web qui pourraient traiter des données personnelles. Il est probable que la CNIL a décidé d’écrire ces articles afin de remédier au manque de sécurité, des sites ou applications, constaté lors des sanctions qu’elle a appliqué durant l’année 2018.
En effet, sur les 12 condamnations qu’elle a prononcées, 8 cas faisaient état d’ « un défaut de sécurité des données » soit sur des sites internet soit sur des applications mobiles. Or, ces défauts de sécurité auraient pu être évités, si lors du développement un protocole plus sécurisé avait été mis en place tel que celui recommandé par la CNIL.
Les conseils de la CNIL pour les développeurs afin qu’ils soient en conformité avec le RGPD :
La CNIL préconise de choisir ses outils de travail. Il arrive que lors de l’utilisation d’un outil en ligne, il y ait un partage de données, le problème étant de savoir ce qu’il advient de ces données une fois partagées. Pour choisir un outil il faut s’assurer que le niveau de sécurité de l’outil garantit la confidentialité des données. Pour mémoire, ces informations se trouvent dans les conditions d’utilisation. La CNIL conseille de préparer son développement en incluant la sécurité dès le début de la conception (privacy by design).
Par ailleurs, la CNIL recommande d’utiliser une méthodologie dite agile pour réaliser le développement comme la méthodologie « Scrum » qui est la méthode la plus utilisée selon certains parmi les méthodes agiles. La CNIL donne aussi des bonnes pratiques pour gérer le code source, il est recommandé lorsque le code commence à prendre une certaine ampleur d’utiliser un outil de gestion du code source. L’utilisation de cet outil exige entre autre de ne pas enregistrer de données personnelles ou d’informations confidentielles dans le code source. A titre d’exemple, dans sa délibération n°SAN-2018-001 du 8 janvier 2018, la CNIL avait précisé que Darty ne devait pas permettre que l’on puisse récupérer des données personnelles dans les liens internet utilisés pour accéder aux tickets des consommateurs.
D’une part, la CNIL précise la meilleure manière d’intégrer les bibliothèques, SDK (software development kit) et outils tiers dans les applications. Il est ainsi recommandé de cartographier les différentes bibliothèques et SDK tiers utilisés. D’autre part, la CNIL préconise de renforcer la qualité du code en le développant soi-même. De plus, il apparaît nécessaire de documenter le code et l’architecture et de maintenir cette documentation à jour. Celle-ci doit permettre la compréhension de ce qui a été réalisé dans les développements précédents.