# Protection des données personnelles
A chaque étape du développement d'un produit, il est nécessaire de savoir quelles questions se poser, quelles actions entreprendre, et quelles ressources mobiliser.
### ⚕ Hygiène : grands principes valables par tous les temps
* Accepter que ces sujets coûtent du **temps** et des **ressources** et qu'ils ne soient pas (très) visibles des utilisateurs ;
* **Plus tôt** on se pose les questions, plus il est facile et rapide d'y répondre et de traiter le sujet des données et de la sécurité ;
* La relation de **confiance** qu'une équipe établit avec les référents-experts de ces sujets dans l'administration est son meilleur passeport pour la liberté et l'autonomie, davantage que les livrables attendus ;
* En matière de données, **ce qui vaut pour soi vaut pour les autres** : que n'aimerions-nous pas voir circuler sur nous-mêmes ?
### 🔎 Phase d'investigation
*9 semaines pour instruire un problème et envisager des solutions pour le résoudre*
Question à se poser
* Quels outils utilise l'équipe pour communiquer, prendre des notes, conduire des entretiens ?
* "Qui ça regarde ?" Est-ce que je suis en train de partager des données au delà du périmètre de l'équipe ou de ceux qu'elles regardent ?
Exemple : Un entretien utilisateur peut être partagé avec l'équipe, le coach, l'environnement de l'équipe, mais sans doute pas au-delà. Est-ce que j'ai autorisé la lecture de mon Google doc par défaut, ou l'ai-je restreint au cercle d'intéressés ?
* Est-ce que je sais ce qu'est une donnée personnelle ?
A faire
* Je me documente sur les sujets RGPD & sécurité :
* 💡 [Qu'est-ce qu'une donnée personnelle ?](https://www.cnil.fr/fr/cnil-direct/question/une-donnee-caractere-personnel-cest-quoi) [Qu'est-ce qu'une donnée personnelle sensible ?](https://www.cnil.fr/fr/definition/donnee-sensible)
* 💡 [Guide d'hygiène informatique pour les systèmes d'information](https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/) & [Guide RGPD du dev](https://www.cnil.fr/fr/guide-rgpd-du-developpeur)
* Je limite l'accès aux docs partagés à ceux que "ça regarde" et j'utilise des outils différenciés en fonction du degré de gêne (sensibilité) des informations.
* Je minimise les informations collectées et supprime celles dont je n'ai pas besoin : après un entretien utilisateur, ai-je besoin de conserver dans mes notes toutes les données de le personne interrogée (date de naissance, numéro de tél, nom, etc.) ?
> Exemple : Un plan de déploiement peut sans doute être sur Google doc en accès ouvert, mais des notes d'entretien utilisateurs, plutôt en accès limité.
A ne pas faire
* Accepter des fichiers de coordonnées de personnes à contacter sans avoir vérifié le consentement de ces personnes ;
* Discuter ou échanger des données personnelles sur des outils partagés (Trello, Slack).
### 🧱 Phase de construction produit
*3 à 6 mois pour développer une première solution numérique et l'expérimenter auprès d'utilisateurs*
Questions à se poser
* Quelle(s) donnée(s) personnelle(s) ai-je prévu de collecter ou d'utiliser dans mon produit, dans quel but précis ?
Exemple : J’ai besoin de données de contact, et je demande le numéro de téléphone et l’adresse mail alors que l’adresse mail pourrait suffire pour contacter la personne.
* Suis-je en train de collecter des données dont je ne sais pas vraiment à quoi elles serviront ?
* Est-ce que je traite des données de santé ? Voir [définition de la CNIL](https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante)
* Est-ce que le produit que je construit peut se rattacher à une démarche administrative existante, un service, ou un texte juridique permettant de justifier le traitement de certaines données ? Quelle est ma base légale de traitement ?
* Qui est mon référent RGPD (DPO ou délégué DPO) ou sécurité ?
* Quelle solution d'hébergement utilisé-je pour mon site ? Est-elle opérée ou localisée en France, en Europe ? Est-ce que je traite des données sensibles ou de santé qui nécessitent un hébergeur particulier ?
A faire
* Je rédige les Conditions Générales d'Utilisation (CGU), mentions légales et Politique de Confidentialité (PC) et les soumet à l'équipe juridique.
* Je recense toutes les données traitées et les finalités qui leur sont associées.
* Si mon produit rentre dans l'un des [critères de la CNIL](https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf) : j'initie une analyse d'impact relative à la protection des donnée (AIPD, aussi appelée EIVP).
* 💡 [Une AIPD, c'est quoi ?](https://www.cnil.fr/sites/default/files/atoms/files/infographie_aipd.pdf)
* Je sensibilise très tôt les membres de mon équipe aux bonnes pratiques individuelles de sécurité informatique, en particulier les personnes appelées à administer le service.
### 🚀 Phase d'accélération
*Mon produit a rencontré ses utilisateurs et démontré sa valeur en phase d'expérimentation ; je concentre mes efforts sur son déploiement à grande échelle (de 100 à 1 000 ou de 1 000 à 100 000 utilisateurs)*
Questions à se poser
* Qui est le Responsable de la sécurité des systèmes d'information (RSSI) dans mon administration ?
A faire
* Je reviens sur les actions des phases précédentes, en répète certaines (atelier risques) et mets à jour les documents correspondants.
* \[Si AIPD] Je finalise l'analyse et sa validation avec le responsable de traitement.
* Je partage le dossier avec le RSSI de mon administration, prends en compte ses retours et me renseigne sur l'autorité d'homologation.
A ne pas faire
* Déstaffer les développeurs expérimentés dont on a plus que jamais besoin pour la montée en charge du produit ;
* Croire que c'est fini !