Selego corporate venture studio
  • L'approche produit
  • Guide de financement des Startups
    • Pilotage du coût d'un produit numérique et contraintes liées à la comptabilité
    • Repères pour les décideuses et décideurs sur le coût des services numériques
    • L'enjeu du pilotage par l'impact
  • La vie du produit
    • Investigation
    • Construction
    • Accélération
    • Sortie d'incubation et pérennisation
  • Les standards
    • Securite
      • Sécurité
      • Sécurité et homologation
      • Protection des données personnelles
Powered by GitBook
On this page
  • ⚕ Hygiène : grands principes valables par tous les temps
  • 🔎 Phase d'investigation
  • 🧱 Phase de construction produit
  • 🚀 Phase d'accélération
  1. Les standards
  2. Securite

Protection des données personnelles

PreviousSécurité et homologation

Last updated 6 months ago

A chaque étape du développement d'un produit, il est nécessaire de savoir quelles questions se poser, quelles actions entreprendre, et quelles ressources mobiliser.

⚕ Hygiène : grands principes valables par tous les temps

  • Accepter que ces sujets coûtent du temps et des ressources et qu'ils ne soient pas (très) visibles des utilisateurs ;

  • Plus tôt on se pose les questions, plus il est facile et rapide d'y répondre et de traiter le sujet des données et de la sécurité ;

  • La relation de confiance qu'une équipe établit avec les référents-experts de ces sujets dans l'administration est son meilleur passeport pour la liberté et l'autonomie, davantage que les livrables attendus ;

  • En matière de données, ce qui vaut pour soi vaut pour les autres : que n'aimerions-nous pas voir circuler sur nous-mêmes ?

🔎 Phase d'investigation

9 semaines pour instruire un problème et envisager des solutions pour le résoudre

Question à se poser

  • Quels outils utilise l'équipe pour communiquer, prendre des notes, conduire des entretiens ?

  • "Qui ça regarde ?" Est-ce que je suis en train de partager des données au delà du périmètre de l'équipe ou de ceux qu'elles regardent ?

Exemple : Un entretien utilisateur peut être partagé avec l'équipe, le coach, l'environnement de l'équipe, mais sans doute pas au-delà. Est-ce que j'ai autorisé la lecture de mon Google doc par défaut, ou l'ai-je restreint au cercle d'intéressés ?

  • Est-ce que je sais ce qu'est une donnée personnelle ?

A faire

  • Je me documente sur les sujets RGPD & sécurité :

    • 💡

    • 💡 &

  • Je limite l'accès aux docs partagés à ceux que "ça regarde" et j'utilise des outils différenciés en fonction du degré de gêne (sensibilité) des informations.

  • Je minimise les informations collectées et supprime celles dont je n'ai pas besoin : après un entretien utilisateur, ai-je besoin de conserver dans mes notes toutes les données de le personne interrogée (date de naissance, numéro de tél, nom, etc.) ?

    Exemple : Un plan de déploiement peut sans doute être sur Google doc en accès ouvert, mais des notes d'entretien utilisateurs, plutôt en accès limité.

A ne pas faire

  • Accepter des fichiers de coordonnées de personnes à contacter sans avoir vérifié le consentement de ces personnes ;

  • Discuter ou échanger des données personnelles sur des outils partagés (Trello, Slack).

🧱 Phase de construction produit

3 à 6 mois pour développer une première solution numérique et l'expérimenter auprès d'utilisateurs

Questions à se poser

  • Quelle(s) donnée(s) personnelle(s) ai-je prévu de collecter ou d'utiliser dans mon produit, dans quel but précis ?

Exemple : J’ai besoin de données de contact, et je demande le numéro de téléphone et l’adresse mail alors que l’adresse mail pourrait suffire pour contacter la personne.

  • Suis-je en train de collecter des données dont je ne sais pas vraiment à quoi elles serviront ?

  • Est-ce que le produit que je construit peut se rattacher à une démarche administrative existante, un service, ou un texte juridique permettant de justifier le traitement de certaines données ? Quelle est ma base légale de traitement ?

  • Qui est mon référent RGPD (DPO ou délégué DPO) ou sécurité ?

  • Quelle solution d'hébergement utilisé-je pour mon site ? Est-elle opérée ou localisée en France, en Europe ? Est-ce que je traite des données sensibles ou de santé qui nécessitent un hébergeur particulier ?

A faire

  • Je rédige les Conditions Générales d'Utilisation (CGU), mentions légales et Politique de Confidentialité (PC) et les soumet à l'équipe juridique.

  • Je recense toutes les données traitées et les finalités qui leur sont associées.

  • Je sensibilise très tôt les membres de mon équipe aux bonnes pratiques individuelles de sécurité informatique, en particulier les personnes appelées à administer le service.

🚀 Phase d'accélération

Mon produit a rencontré ses utilisateurs et démontré sa valeur en phase d'expérimentation ; je concentre mes efforts sur son déploiement à grande échelle (de 100 à 1 000 ou de 1 000 à 100 000 utilisateurs)

Questions à se poser

  • Qui est le Responsable de la sécurité des systèmes d'information (RSSI) dans mon administration ?

A faire

  • Je reviens sur les actions des phases précédentes, en répète certaines (atelier risques) et mets à jour les documents correspondants.

  • [Si AIPD] Je finalise l'analyse et sa validation avec le responsable de traitement.

  • Je partage le dossier avec le RSSI de mon administration, prends en compte ses retours et me renseigne sur l'autorité d'homologation.

A ne pas faire

  • Déstaffer les développeurs expérimentés dont on a plus que jamais besoin pour la montée en charge du produit ;

  • Croire que c'est fini !

Est-ce que je traite des données de santé ? Voir

Si mon produit rentre dans l'un des : j'initie une analyse d'impact relative à la protection des donnée (AIPD, aussi appelée EIVP).

💡

Qu'est-ce qu'une donnée personnelle ?
Qu'est-ce qu'une donnée personnelle sensible ?
Guide d'hygiène informatique pour les systèmes d'information
Guide RGPD du dev
définition de la CNIL
critères de la CNIL
Une AIPD, c'est quoi ?