#436 la conduite d’un projet IT en RGPD PRIVACY by DESIGN ?

#436Cconduire un projet IT en RGPD PRIVACY by DESIGN © Ledieu-Avocats 2022

[mis à jour le 12 décembre 2022 à 19h00]  A la demande d’une grande entreprise qui fait travailler ses équipes de développeurs (et qui fait également appel à des prestataires externes), je me suis penché sur la mise en oeuvre pratique du principe du PRIVACY BY DESIGN imposé par le RGPD.

Comme le sujet est assez…. aride… nos explications seront entièrement illustrées avec des dessins piochés dans les 11 tomes de « La nef des fous » publiés aux éditions Delcourt. [le tome 12 est enfin annoncé pour janvier 2023 !!!].

Nous nous intéresserons surtout aux aspects techniques de ce qu’il faudrait faire, donc pas de revue des principes juridiques du RGPD.

Commençons par résumer la manière dont je vous suggère d’appréhender le « chantier ».

Pas besoin de ré-inventer la roue, il suffit d’un peu de logique :

conduire un projet IT en RGPD PRIVACY by DESIGN © Ledieu-Avocats


l'INTRO


Pourquoi conduire un projet IT en RGPD Privacy by Design ?

A question simple, réponse simple : parce que le RGPD l’impose ! 

Oui, je sais, ce n’est pas écrit de manière limpide dans le RGPD, mais je pense que vous comprendrez bien l’idée en lisant les « considérant » du Règlement UE 2016/679

Soyons pragmatique et regardons le risque que poserait le non-respect de ce principe cardinal du RGPD.

Car, rappelons-le, le RGPD et les mesures à mettre en oeuvre s’analyse en termes de risque.

Ce n’est pas moi qui le dit, c’est le RGPD. Et la jurisprudence récente de la CNIL !

Vous trouverez le détail de cette réflexion dans le slider ci-dessous. Vous pouvez faire défiler les slides en utilisant les flèches bleues à droite et à gauche de chaque image que vous visualisez.


Conduire un projet IT en RGPD Privacy by Design ? Pour être conforme à l'état (technique) de l'art...

L’état de l’art… Voila bien une notion qui déconcerte nombre de juristes et d’opérationnel(le)s.

Pourtant, c’est simple : il s’agit d’appliquer les « recommandations » des autorités de contrôle. 

Ne vous interrogez plus sur le terme « recommandation » : il s’agit en pratique d’obligations à mettre en oeuvre !

La conduite d’un projet IT en RGPD Privacy By Design nécessite donc (i) de suivre les normes techniques publiées par la CNIL et l’ANSSI, et (ii) de lire les décisions de condamnation de la CNIL, qui prescrivent « ce qu’il aurait fallu faire » pour éviter une condamnation.

Et si vous n’êtes pas à « l’état de l’art » lors d’un contrôle ? Vous serez négligent(e). Et vous serez sanctionné(e) pour cette négligence ! 

Ce discours vous parait abstrait ? Jetons un coup d’oeil sur la jurisprudence récente de la CNIL, vous allez voir une fois encore combien les choses sont concrètes lorsque vous devez conduire un projet IT.


Conduire un projet IT en RGPD Privacy by Design ? ETAPE 1 : ce qu'il faut faire dès la conception du projet IT

Cette étape est primordiale.

Si vous ne vous posez pas les bonnes questions dès le départ, vous prenez le risque de devoir faire le boulot plusieurs fois…

5 points cruciaux sont à organiser :

ETAPE 1 la CONCEPTION du projet IT en RGPD Privacy by Design © Ledieu-Avocats

Si vous suivez l’actualité de la CNIL et de l’ANSSI depuis quelques années, vous ne découvrirez rien de révolutionnaire dans le détail des slides ci-dessous.

Vous trouverez en revanche le détail des normes techniques obligatoires à respecter.

Et pour vous convaincre de la réalité de ces règles impératives, vous trouverez systématiquement des décisions de condamnation de la CNIL à l’encontre des professionnel(le)s négligent(e)s. 

Nous ferons un gros FOCUS sur les condamnations « mots de passe » depuis 2018 (douze, si je ne m’abuse).

Si vous souhaitez un panorama plus exhaustif des décision normatives et de sanction de la CNIL depuis 2016 (année d’adoption du RGPD), cliquez sur ce lien pour accéder à ma présentation à jour au 5 décembre 2022 de l’actualité CNIL.


Une fois que le projet IT est conçu, il faut développer.... Passons à l'ETAPE 2 : le "built"

De manière également assez classique, regardons ce qu’il faudrait mettre en oeuvre

  • lors du développement du logiciel / service
  • lors de son test et
  • lors de sa recette

 

J’arrête le bla bla : allez regarder les slides ci-dessous !


L'ETAPE 3 de la conduite d'un projet IT en RGPD Privacy By Design : vous basculez en prod (la phase de "run")

Le projet IT est recetté ?

Votre service / logiciel tourne « en prod » ? 

Vous pensez que le boulot est terminé ? Hélas… 

Voici les 7 étapes indispensables pour veiller que votre projet IT reste conforme au principe (qui avait l’air si simple) du Privacy By Design : 

la phase de RUN d'un projet IT conduit en Privacy by Design © Ledieu-Avocats

Comme pour la phase 1 (conception) et la phase 2 (« built » ), la phase 3 dite de « RUN » mérite d’être détaillée.

Vous trouverez ce détail dans les slides ci-dessous.


Conduire un projet IT en RGPD Privacy By Design jusqu'au bout... hé oui...

Que faire des données personnelles collectées lorsque vous décommissionez votre applications / services ?

Vous trouverez les 4 points de vigilance (???) dans le slider ci-dessous.


Le générique des BD ayant servi d'illustration à cette présentation qui doit beaucoup aux éditions Delcourt Soleil !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« Les 5 Terres » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022

« Arctica » 12 tomes par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022

« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022

« Badlands » série complète en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018

« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020

« Le Crépuscule des Dieux » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016

« Le dernier Troyen » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012

« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019

« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Horologiom » série complète en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021

« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011

« La nef des Fous » 11 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2021

« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012

« L’Oeil de la Nuit » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016

« Olympus Mons » première série complète en 7 tomes par Christophe Bec et Stefano Raffaele © éditions Soleil 2017-2022

« Les portes de Shamballah » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016

« Le serpent et la lance » 2 tomes par Hub © éditions Delcourt 2019 – 2021 (bienvenu dans l’Empire aztèque en 1454)

« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018

« Sur les terres d’Horus » série complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015

« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006 

« Yiu Premières missions » série complète en 7 tomes + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010

Derniers articles