Retour sur la publication du nouveau guide RGPD du développeur par la CNIL

Le 13 décembre 2021, la CNIL a publié son nouveau guide RGPD pour les développeurs qui intègre notamment des fiches inédites ainsi que des extraits de code afin d’illustrer de manière pratique certaines exigences du RGPD.

Points forts du guide

Une publication sous licence ouverte pour permettre une évolution constante !

Contrairement à l’ancienne version, cette fois-ci, le guide RGPD pour les développeurs est publié sous licence ouverte. Cela signifie qu’il peut être copié, réutilisé mais aussi et surtout modifié par ses utilisateurs.

En effet, grande nouveauté, le guide étant disponible sur GitHub, il est possible pour n’importe quel utilisateur de contribuer à son évolution.

Pour cela, rien de plus simple !

Inscrivez-vous sur la plateforme GitHub, puis rendez-vous sur la page du projet. Vous pourrez ensuite utiliser l’onglet “Issue” pour ouvrir des commentaires ou participer aux discussions en cours ; ou bien utiliser l’option “Fork” pour proposer vos propres modifications et les faire valider grâce au bouton “Pull Request”.

Avant publication, votre proposition sera examinée par la CNIL, qui décidera par la suite de l’inclure ou non au sein du guide.

Une publication sous forme de fiches pratiques !

Le guide est composé de 18 fiches pratiques traitant notamment de l’application de règles sur l’usage de cookies et autres traceurs ou encore des solutions de mesures d’audience telles que Google Analytics. Cette deuxième version dresse également une liste non exhaustive de vulnérabilités ayant conduit à des violations de données notifiées à la CNIL et présente des exemples de mesures qui auraient permis de les éviter.

Un volet plus technique !

Cette nouvelle version du guide du développeur comporte un aspect plus technique que son prédécesseur.
Elle recense la plupart des besoins des développeurs afin de les accompagner à chaque étape de leur projet. Certaines recommandations sont même associées à des exemples concrets de lignes de code.

Fiches inédites

Ce nouveau guide prévoit deux fiches inédites par rapport à l’ancienne version.
Il s’agit de celle sur l’analyse des pratiques en matière de traceurs, sites et applications et de celle sur la manière dont se prémunir contre les attaques informatiques.

Analyser les pratiques en matière de traceurs sur vos sites et vos applications

Cette fiche revient sur les obligations des développeurs issues de la directive ePrivacy.
Elle s’attarde notamment sur l’obligation de recueil du consentement préalable en distinguant les traceurs visés ou non par cette obligation.

Se prémunir contre les attaques informatiques

Cette fiche traite de l’obligation de sécurité pesant sur les développeurs.  En effet, ces derniers sont tenus de mettre en œuvre toutes les mesures nécessaires dans leurs produits afin de prévenir les attaques ou les négligences pouvant entraîner des violations de données personnelles. Le fiche propose des exemples de mesures permettant d’éviter de telles violations, telles que la manipulation d’URL ou encore le bourrage d’identifiants. 

Valeur juridique du guide

Le nouveau guide du développeur n’a pas de valeur juridique en tant que telle. En effet, la CNIL affirme que ces fiches n’ont pas vocation à répondre à l’ensemble des réglementations ni à être prescriptives. En revanche, il apporte des éclaircissements sur les exigences issues du RGPD à mettre en œuvre lors du développement de projets.