Devops for Growth

De nombreux éditeurs et autres prestataires informatiques sont concernés

L’éditeur est considéré par l’administration fiscale comme la personne qui détient le code source du logiciel ou système et qui a la maîtrise de la modification des paramètres du produit (3).

Un point de vigilance tout particulier doit être apporté à l’extension de cette définition par l’administration fiscale, qui considère que l’éditeur est aussi :

« le dernier intervenant ayant paramétré le logiciel ou système lorsque son intervention a eu pour objet ou effet de modifier un ou des paramètres » de conformité (3).

Il convient donc que les prestataires qui pourraient être amenés à intervenir sur ces logiciels, y compris au titre d’opérations de maintenance :

• (i) garantissent qu’ils ne procèdent pas à une telle modification des paramètres ;
• ou, (ii) fassent contractuellement reposer les risques associés sur le client ou le partenaire éditeur ;
• ou (iii) s’engagent à respecter les exigences de certification et de conformité, et notamment le critère d’inaltérabilité, si ils effectuent des corrections.

La CNIL publie un guide RGPD pour les développeurs

Afin de vous accompagner dans la mise en conformité de vos développements projet web ou applicatif, la CNIL a élaboré un guide de bonnes pratiques des développements en open source.

Ce guide est publié sous licence GPLv3 et sous licence ouverte 2.0 (explicitement compatible avec CC-BY 4.0 FR). Vous pouvez donc librement contribuer à son enrichissement.

Ce guide s’adresse-t-il uniquement aux développeurs ?

Que vous travailliez seul(e) ou en équipe au développement d'un projet, que vous soyez amené(e) à gérer une équipe de développement, que vous soyez un prestataire, ou simplement curieux, ce guide contient une première approche des grands principes du RGPD et des différents points d’attention à prendre en compte dans le déploiement d’applications respectueuse de la vie privée de ses utilisateurs.

Il propose des conseils et des bonnes pratiques, et offre ainsi des clés de compréhension du RGPD utiles pour tous les acteurs, quelle que soit la taille de leur structure. Il peut également faire l’objet d’échanges au sein des services et dans la relation avec vos clients.

Que contient le guide ?

Ce guide est découpé en 16 fiches thématiques qui couvrent la plupart des besoins des développeurs pour les accompagner à chaque étape de leur projet, de la préparation du développement à la mesure de l’audience.

Le règlement général sur la protection des données (ou RGPD) précise que la protection des droits et libertés des personnes physiques exige de prendre des « mesures techniques et organisationnelles appropriées afin de garantir que les exigences du présent règlement sont respectées » (considérant 78).

La détermination de ces mesures est forcément liée au contexte des traitements mis en place, et le responsable de traitement (l'entité publique ou privée qui traite des données personnelles) doit à ce titre assurer la sécurité des données qu'il est amené à traiter.

Les bonnes pratiques de ce guide n’ont donc pas vocation à couvrir l’ensemble des exigences des règlementations ni à être à prescriptives, elles apportent un premier niveau de mesures permettant de prendre en compte les problématiques de protection de la vie privée dans les développements informatiques qui ont vocation à être appliquées à tous les projets traitant des données. En fonction de la nature des traitements opérés dans certains cas des mesures complémentaires devront être mises en œuvre afin de respecter pleinement la réglementation.

Comment contribuer à ce guide ?

Ce guide est disponible en deux versions :

• Une version web sur le site de la CNIL et dans l'onglet "Releases" de ce repository ;
• Cette version GitHub, qui offre la possibilité à tous d’y contribuer.