RGPD & Mobile : ce qu’il faut retenir pour 2018

La nouvelle réglementation européenne obligatoire relative à la protection des données personnelles va entrer en vigueur en mai 2018. Toutes les sociétés qui récoltent, consultent et traitent des données personnelles dites sensibles sont concernées.

A ce titre, nous avons noué un partenariat avec la société Digitémis, expert en cybersécurité et en protection des données personnelles pour proposer à nos clients la possibilité de se faire accompagner sur la mise en conformité de leurs innovations mobiles.

Nous vous avons préparé un résumé des points importants pour appliquer la RGDP dans vos projets mobiles et web.

DÉFINITION ET HISTORIQUE

Par définition, une donnée personnelle c’est une donnée qui se rapporte à une personne physique, identifiée ou identifiable excepté pour les personnes morales. La donnée est qualifiée de sensible dès lors qu’il s’agit d’une donnée sur :

  • L’origine raciale ou ethnique
  • Les opinions politiques
  • Les convictions religieuses ou philosophiques
  • L’appartenance syndicale
  • Les données génétiques
  • Les données biométriques
  • Les données de santé
  • Les données concernant la vie sexuelle

A l’époque c’est Jacques Chirac qui lance le débat avec le projet SAFARI le 21 mars 1974 qui visait à établir un fichier national sur les citoyens français qui fut annulé 4 ans plus tard avec l’arrivée de la loi informatique et des libertés le 6 janvier 1978.

Le 24 octobre 1995, l’Europe officialise la directive européenne n°95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractères personnel et à la libre circulation de ces données.

 

LES 3 GRANDS ACTEURS DE LA DONNÉE

Le responsable des traitement c’est celui qui détermine les finalités et les moyens de traitement d’une donnée personnelle (souvent représenté par le dirigeant d’une entreprise, le responsable de service ou le responsable de l’autorité publique).

Les destinataire des données c’est celui qui reçoit les données personnelles (souvent figuré par un sous-traitant, le donneur d’ordre ou une autre filiale du groupe entreprise).

La CNIL ou la Commission Nationale de l’Informatique et des Libertés c’est l’organisme qui a un double rôle de conseil et de sensibilisation mais aussi de sanction en cas de non-conformité. La CNIL opère soit sur place dans votre entreprise soit à distance en auditant en ligne la conformité de votre application. Elle a un pouvoir de sanction qui peut aller jusqu’à 4% du CA global et mondial pour les entreprises qui ne respectent pas les normes prochainement obligatoires.

La particularité de la CNIL c’est qu’elle n’est pas obligée de vous avertir de son contrôle s’il est physique ou de son intrusion si il est à distance : elle peut pénétrer votre système sans autorisation de votre part.

 

LES DROITS DES PERSONNES

Toute personne peut demander d’être informée sur la nature du traitement de ses données. Cette même personne peut demander à un droit d’accès pour consulter quel type de données sont recensées et même demander un droit d’oubli de ses données dans certains cas précis.

 

APPLIQUER LA RGPD POUR VOS APPLICATIONS

Chaque projet nécessite une étude approfondie afin de détecter ses propres axes d’amélioration mais de manière générale, quand votre site ou votre application contient des données personnelles, il faut :

  • Ajouter des informations explicites sous forme de tutoriel (par exemple) pour expliquer comment votre application ou votre site web utilise les données de vos utilisateurs
  • Obtenir le consentement de l’utilisateur pour récupérer ses données personnelles. Le consentement doit être clairement indiqué par l’utilisateur, par exemple vous ne pouvez pas pré-cocher des cases à la place de vos utilisateurs
  • Transférer l’ensemble des données exploitées dans votre application ou votre site web à tout utilisateur qui le demande (c’est le droit à l’accès). Le système doit donc prévoir ce cas de façon automatique et rendre accessibles les données à la personne à laquelle elles appartiennent
  • Rendre anonyme les données à la demande de l’utilisateur (c’est le droit à l’oubli), le système doit donc prévoir une façon d’anonymiser les données d’un utilisateurs.

Aussi, lorsqu’un éditeur de site web ou d’application subira une attaque, il devra désormais en informer la CNIL qui pourra peut-être procéder à un contrôle.

 

EXEMPLE D’UN CAS À ÉVITER

Voici l’exemple un cas à éviter au sujet de l’utilisation illégales des données personnelles des utilisateurs de vos applications.

Votre application utilise la géolocalisation pour une de vos grandes fonctionnalités.

Pour ce faire, vous intégrez un SDK de géolocalisation qui appartient à une autre société dont la raison d’être est de collecter ce type de données.

 

Votre utilisateur donne son accord pour être géolocalisé sur votre application mais il ne sait pas que le SDK que vous avez installé utilise la géolocalisation de son smartphone en permanence et peut donc savoir en temps réel ou il se trouve sans avoir a lui demander son autorisation.

 

C’est une pratique illégale qui peut vous être sanctionnée par la CNIL si elle s’aperçoit lors d’un contrôle effectué sur votre application.

Publication PrécédentePublication Suivante

Contenus Complémentaires

Auteur

Damien CTO Beapp

En tant que Responsable Technique, Damien est chargé de fixer le cap technique de l’agence pour répondre au mieux aux enjeux stratégiques de nos clients.
Il dirige et supervise les équipes de développement au quotidien et est le garant de la qualité des livrables. Il définit l’architecture des projets client et assure la gestion des outils de suivi de qualité. Il pilote également avec son équipe une veille active sur les derniers sujets d’innovations technologiques.

SUIVEZ-NOUS