FaceApp, une leçon aux développeurs

Systématiser l’approche Privacy & Security by Design 

Systématiser l’approche Privacy & Security by Design

L’application mobile FaceApp, créée en 2017, a connu un regain de popularité grâce à sa nouvelle “fonctionnalité” basée sur l’intelligence artificielle. Les utilisateurs se sont pris au jeu du “FaceApp Challenge” qui consistait à publier sur les réseaux sociaux une photo de soi avec quelques années de plus ou de moins.

Cependant cette application ludique a rapidement suscité la polémique quant à la conservation et l’utilisation de ladite photo et la protection des données des utilisateurs. Malgré la prouesse technique et technologique, cela soulève un point important : le travail des développeurs ne se limite pas à la création d’une application ergonomique, fonctionnelle et performante, l’approche Privacy & Security by Design doit être prise en compte.

La problématique de la protection des données représente une partie importante de la phase de réflexion d’un projet, afin d’intégrer des fonctionnalités internes et de choisir la solution d’hébergement la mieux adaptée. 

Afin d’être conforme au Règlement Général sur la Protection des Données (RGPD), les développeurs doivent se poser trois questions avant d’entamer la phase de design : 

1- Quelle est la nature des données qui seront collectées ?

Il s’agit d’identifier les données collectées (métadonnées, données personnelles ou sensibles) afin de déterminer le régime juridique applicable au projet.

2- Comment ces données sont-elles collectées ? 

La collecte des données doit se faire avec le consentement de l’utilisateur, dans le respect de ses droits et de manière transparente. 

3 – Quelle est la finalité du traitement des données ?

Définir la finalité du traitement permet de réduire le nombre de données recueillies et d’agir dans le respect du RGPD.

En cas de contrôle, le responsable de traitement doit être en mesure d’apporter la preuve du consentement de l’utilisateur à la collecte de ses données. Le RGPD  impose également la possibilité pour les utilisateurs, de modifier et de personnaliser les paramètres.

Des applications Privacy & Security by Design

Dans ce contexte, dès la conception le développeur doit adopter une posture proactive en intégrant des mesures à la fois techniques et organisationnelles pour protéger les données des futurs utilisateurs. C’est pourquoi il est recommandé de constituer durant la conception, un tableau de bord des données collectées et de leur finalité tout en établissant une politique de confidentialité intelligible par chacun – du  développement à la livraison, de la recette à la maintenance, en passant par la garantie. 

Dans une logique de Privacy by Design, la protection des données est ancrée dans le système lui-même avec tout un panel de fonctionnalités. Toutefois, les données représentant un bien immatériel précieux pour les entreprises, le développeur doit concevoir un dispositif qui respecte les droits de l’utilisateur tout en tenant compte des intérêts économiques de la structure. 

Par exemple, il peut mettre en place un module de suppression intégré dans l’outil (durée de conservation et effacement des données) ou encore des modules permettant l’extraction de données (droit d’accès et/ou portabilité des données).

Enfin, l’ensemble des directions métier doivent être sensibilisées à la problématique du RGPD, notamment les achats. Ces derniers doivent intégrer et vérifier lors de l’instruction de conformité avant le choix d’une prestation ou la mise en place d’un traitement. 

Cartographier les données pour cartographier les risques 

C’est un processus permettant de recenser, puis de visualiser, les points d’entrée et de traitement de la data pour obtenir une vision à 360° de la masse des données en circulation dans une entreprise. Cette cartographie permet de visualiser les aspects techniques (stockage et transformation de la data dans les applications des SI) et la vision métier (l’utilisation qui en est faite au sein des différents services). 

L’analyse doit être exhaustive et notamment identifier les intervenants – internes ou externes qui seront amenés à consulter les données et dans quelle finalité. Une identification précise des prestataires sous-traitants est donc requise afin d’actualiser les clauses de confidentialité. 

Enfin et surtout, la plupart des opérateurs choisissant des solutions de cloud public, (Amazon Web Services, Microsoft Azure, Google Cloud) les flux d’échanges de données doivent être répertoriés en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne. 

A noter, les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne à condition d’assurer un niveau de protection des données suffisant et approprié. 

Le Privacy & Security by Design est une recommandation légale et aucunement une obligation pour le développeur. Toutefois, en cas de contentieux, la CNIL pourra à défaut d’implémentation de cette recommandation, sanctionner l’entreprise pour ne pas avoir pris les précautions nécessaires.

Il en va de la responsabilité des entreprises d’afficher clairement les informations liées aux données des utilisateurs dans les conditions d’utilisation de leurs applications, il en va également de celle de chaque individu de les lire – même partiellement – ou à défaut d’observer un principe de précaution. Ne dit-on pas d’ailleurs que “quand c’est gratuit, c’est que vous êtes le produit” ?

devoteam

Contact

Chloe Niedergang

Consultante Junior Légal et Réglementaire
Data Protection

Renaud Templier

Risk & Security Director and Global Cyber Security Offer Leader
Devoteam