La loi RGPD en quelques mots
RGPD est l’abréviation de Règlement Général sur la Protection des Données. Il régit le traitement des données personnelles au sein de l’Union européenne et fait l’objet d’une mise à jour pour suivre les évolutions technologiques et sociétales, telles que l’essor du numérique et du commerce en ligne. Le règlement est en phase avec la loi française de 1978 sur la protection des données et renforce le contrôle des utilisateurs sur leurs données. Le RGPD fournit un cadre juridique cohérent aux professionnels opérant en Europe, leur permettant de mener leurs activités numériques en toute confiance avec les utilisateurs.
Le 24 novembre 2022, la CNIL a annoncé son plan d’action pour protéger la vie privée des utilisateurs et assurer la conformité des applications mobiles. Les applications mobiles étant une porte d’entrée majeure vers les contenus et services numériques, la CNIL s’engage à protéger la vie privée des utilisateurs par le biais de son plan d’action.
Qu’est-ce qu’une donnée personnelle ?
Le terme « données à caractère personnel » désigne toute information relative à une personne physique qui peut être identifiée directement ou indirectement. Il peut s’agir d’identifiants tels que des noms ou des numéros de clients, mais aussi de données biométriques, de caractéristiques physiques et d’éléments culturels ou sociaux. L’identification d’une personne peut se faire à l’aide d’une seule donnée ou par la combinaison de plusieurs informations. Par exemple, le numéro de sécurité sociale d’une personne peut être utilisé pour l’identifier, tout comme une combinaison de son adresse, de sa date de naissance, de ses abonnements à des magazines et de son implication dans diverses associations.
Le terme « traitement de données à caractère personnel » désigne une série d’actions entreprises à l’égard de données à caractère personnel, quelle que soit la méthode utilisée, telles que la collecte, l’enregistrement, l’organisation, le stockage, la modification, l’extraction, la consultation, l’utilisation, la transmission, la diffusion ou la fourniture de données par le biais de toute forme de communication. Parmi ces actions, on peut citer la tenue d’un fichier clients, la collecte d’informations de contact par le biais d’enquêtes et la mise à jour des dossiers des fournisseurs. Il convient de noter que le traitement des données à caractère personnel englobe également les dossiers papier, et pas seulement les dossiers informatisés. En revanche, un document contenant uniquement les coordonnées d’entreprises n’est pas considéré comme un traitement de données à caractère personnel.
Pour finir, il est essentiel que le traitement des données ait une finalité spécifique et légitime. La collecte ou le traitement de données à caractère personnel sans objectif clair n’est pas acceptable. Chaque activité de traitement des données doit être légale et pertinente pour les activités de votre entreprise. Par exemple, lorsque vous fournissez un service ou un produit à vos clients, comme la livraison de marchandises, l’émission d’une facture ou la mise en place d’un programme de fidélisation, la collecte d’informations les concernant entre dans la catégorie du traitement des données à caractère personnel. L’objectif de ce traitement est de gérer vos clients.
Développement d’applications : la responsabilité liée au traitement des données personnelles
Une entreprise propriétaire d’une application est concernée par la loi RGPD dès lors qu’elle traite des données personnelles de personnes situées sur le territoire européen par le biais de ladite application. Elle doit donc s’assurer que son processus de traitement des données est conforme avec la loi RGPD.
Chez LINKAVIE, la prise en compte des spécificités liées à la loi RGPD et à la protection des données personnelles est prise en compte dès la conception de l’application. C’est-à-dire que les questions de la définition des données collectées, leur finalité et les techniques de récolte sont déterminées dès les premiers échanges entre l’agence et le client.
Dans les grandes lignes, il faut être conscient que l’utilisateur de l’application doit :
- être informé de la récolte de ses données personnelles ainsi que de sa finalité,
- donner volontairement son consentement avant toute collecte de donnée,
- pouvoir rectifier ou contester cette récolte à n’importe quel moment.
D’une façon plus générale, les données récoltées doivent être reconnues comme étant “nécessaires à la réalisation du service attendu” et doivent surtout être sécurisées.
Les sanctions en cas de non-respect du RGPD
La formation restreinte de la CNIL peut prononcer un rappel à l’ordre, ordonner la mise en conformité d’un traitement, restreindre temporairement ou définitivement un traitement, suspendre des flux de données ou infliger une amende administrative lorsqu’elle reçoit des signalements de manquements au RGPD ou à la loi. En outre, elle peut également ordonner la réalisation de demandes de droits individuels, sous peine de sanctions. En cas de manquement des responsables de traitement et des sous-traitants aux dispositions du RGPD ou de la loi, à la suite de contrôles ou de plaintes, la formation restreinte de la CNIL ou son président peuvent prononcer des sanctions à leur encontre. Les sanctions peuvent être lourdes dans le cadre de la procédure ordinaire, conformément au règlement général sur la protection des données, avec un maximum de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial dans le cas des entreprises. En outre, ces sanctions peuvent être rendues publiques.
RGPD et développement d’applications : les bonnes pratiques
Gestion des consentements
Les utilisateurs de votre application devront être informés du traitement de données mis en place ainsi que de leurs droits par le biais de mentions accessibles depuis n’importe quelle page de votre application, d’une politique de confidentialité visible.
Tenue d’un registre des activités de traitement et data mapping
Lors du traitement des données, il est important de cartographier la transmission de données. Ainsi, il est obligatoire pour toute organisation de tenir un registre des activités de traitement qui comprend une analyse complète du traitement des données dès la phase de conception de l’application, qu’elle soit Web ou mobile. Ce registre doit couvrir différents aspects tels que les endroits où sont collectées les données, les personnes impliquées dans le traitement des données, les catégories de données traitées, la finalité de la collecte des données, les personnes ayant accès aux données, la durée de conservation des données et les mesures de sécurité.
Transparence de l’information
Il est obligatoire de respecter les obligations de transparence et d’information lors de la collecte de données à caractère personnel par le biais d’une application. Il s’agit notamment d’informer l’utilisateur de la collecte des données, de justifier le traitement des données, d’obtenir un consentement clair et garanti de l’utilisateur avant la collecte des données au moyen d’une case à cocher, de s’abstenir d’utiliser les données à d’autres fins que celles indiquées, de préciser les entités qui ont accès aux données, telles que le service marketing ou un prestataire de services externe, d’indiquer la durée de conservation des données, d’informer l’utilisateur de ses droits, tels que le droit de suppression, d’accès, d’opposition et de rectification, et d’expliquer les modalités d’exercice de ces droits.
Conservation des données et droit à l’effacement
Le principe d’intégrité et de confidentialité stipule que l’entité qui décide de la finalité d’une application mobile est responsable de son traitement et de sa sécurité, généralement le propriétaire de l’application. Toutefois, si une entreprise fait appel à un prestataire de services, la responsabilité peut être partagée. Il est essentiel de sécuriser toutes les données personnelles liées à une application mobile, et le niveau de protection doit dépendre de la sensibilité des données stockées. Les données sensibles, telles que l’orientation sexuelle, la religion, l’origine ethnique ou les données de santé, doivent faire l’objet de techniques de protection plus strictes afin d’éviter toute discrimination. D’autre part, les utilisateurs doivent avoir la possibilité, à tout moment, de demander l’effacement de leurs données.
Sécurité des données
Assurer la sécurité de votre application web ou mobile mobile était déjà une condition préalable avant même l’entrée en vigueur du RGPD. Il est essentiel que les informations personnelles recueillies par le biais de votre application soient sécurisées, quel que soit le type d’informations. Selon le type de données collectées, il peut être nécessaire d’effectuer une analyse d’impact sur la protection des données (DPIA). Toutefois, cette exigence ne s’applique qu’aux projets qui présentent un risque important pour les droits et libertés des personnes. Il est essentiel de s’assurer que votre application réponde aux exigences du RGPD et d’identifier les domaines qui nécessitent une protection supplémentaire.
Voilà, vous savez désormais, dans les grandes lignes, comment la loi RGPD impacte le secteur du développement d’applications web et mobiles. Et vous quelles sont vos pratiques de mise en conformité ?