Protection des données personnelles

• Quels outils utilise l'équipe pour communiquer, prendre des notes, conduire des entretiens ?

• "Qui ça regarde ?" Est-ce que je suis en train de partager des données au delà du périmètre de l'équipe ou de ceux qu'elles regardent ?

Exemple : Un entretien utilisateur peut être partagé avec l'équipe, le coach, l'environnement de l'équipe, mais sans doute pas au-delà. Est-ce que j'ai autorisé la lecture de mon Google doc par défaut, ou l'ai-je restreint au cercle d'intéressés ?

• Est-ce que je sais ce qu'est une donnée personnelle ?

• Je me documente sur les sujets RGPD & sécurité :

  • 💡 Qu'est-ce qu'une donnée personnelle ? Qu'est-ce qu'une donnée personnelle sensible ?

  • 💡 Guide d'hygiène informatique pour les systèmes d'information & Guide RGPD du dev

• Je limite l'accès aux docs partagés à ceux que "ça regarde" et j'utilise des outils différenciés en fonction du degré de gêne (sensibilité) des informations.

• Je minimise les informations collectées et supprime celles dont je n'ai pas besoin : après un entretien utilisateur, ai-je besoin de conserver dans mes notes toutes les données de le personne interrogée (date de naissance, numéro de tél, nom, etc.) ?

  Exemple : Un plan de déploiement peut sans doute être sur Google doc en accès ouvert, mais des notes d'entretien utilisateurs, plutôt en accès limité.

• Accepter des fichiers de coordonnées de personnes à contacter sans avoir vérifié le consentement de ces personnes ;

• Discuter ou échanger des données personnelles sur des outils partagés (Trello, Slack).

• Quelle(s) donnée(s) personnelle(s) ai-je prévu de collecter ou d'utiliser dans mon produit, dans quel but précis ?

Exemple : J’ai besoin de données de contact, et je demande le numéro de téléphone et l’adresse mail alors que l’adresse mail pourrait suffire pour contacter la personne.

• Suis-je en train de collecter des données dont je ne sais pas vraiment à quoi elles serviront ?

• Est-ce que je traite des données de santé ? Voir définition de la CNIL

• Est-ce que le produit que je construit peut se rattacher à une démarche administrative existante, un service, ou un texte juridique permettant de justifier le traitement de certaines données ? Quelle est ma base légale de traitement ?

• Qui est mon référent RGPD (DPO ou délégué DPO) ou sécurité ?

• Quelle solution d'hébergement utilisé-je pour mon site ? Est-elle opérée ou localisée en France, en Europe ? Est-ce que je traite des données sensibles ou de santé qui nécessitent un hébergeur particulier ?

• Je rédige les Conditions Générales d'Utilisation (CGU), mentions légales et Politique de Confidentialité (PC) et les soumet à l'équipe juridique.

• Je recense toutes les données traitées et les finalités qui leur sont associées.

• Si mon produit rentre dans l'un des critères de la CNIL : j'initie une analyse d'impact relative à la protection des donnée (AIPD, aussi appelée EIVP).

  • 💡 Une AIPD, c'est quoi ?

• Je sensibilise très tôt les membres de mon équipe aux bonnes pratiques individuelles de sécurité informatique, en particulier les personnes appelées à administer le service.

• Qui est le Responsable de la sécurité des systèmes d'information (RSSI) dans mon administration ?

• Je reviens sur les actions des phases précédentes, en répète certaines (atelier risques) et mets à jour les documents correspondants.

• [Si AIPD] Je finalise l'analyse et sa validation avec le responsable de traitement.

• Je partage le dossier avec le RSSI de mon administration, prends en compte ses retours et me renseigne sur l'autorité d'homologation.

• Déstaffer les développeurs expérimentés dont on a plus que jamais besoin pour la montée en charge du produit ;

• Croire que c'est fini !