La protection des données personnelles en tant que développeur Azure

Dans le domaine de l’informatique, le nombre d’informations recueillies ne cesse d’augmenter et la plupart des grandes entreprises sont confrontées aux problématiques de migration vers le Cloud et le Big Data.

À côté de cela, une nouvelle réglementation européenne de protection des données personnelles (RGPD ou GDPR) est entrée en vigueur depuis le 25 mai 2018.

On peut donc se demander ce que tous ces changements impliquent pour nous les développeurs ?

Ce premier article permet d’introduire la réglementation et ce qu’elle signifie pour nous.

N’hésitez pas à consulter notre série d’articles pour approfondir le sujet et tout savoir sur la data privacy grâce à Cellenza,

 Qu’est-ce qu’on entend par une donnée personnelle ?

La CNIL (Commission nationale de l’informatique et des libertés) rapporte qu’une donnée personnelle est une information relative à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification (n° de sécurité sociale, …) ou à un ou plusieurs éléments qui lui sont propres (Nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN, etc.).

Qui est concerné par ces mesures ?

Toutes les personnes manipulant des données personnelles sont concernées par cette réglementation que ce soit un particulier, une PME ou une multinationale. Il n’y a aucune exception.

Et concrètement, quelles sont les réglementations dont les développeurs doivent se préoccuper ?

En tant que développeur, nous sommes directement concernés par deux chapitres parmi les onze que contient le RGPD, à savoir le chapitre II, Principes, et le chapitre III, Droits de la personne concernée. Ces chapitres énoncent les principes et les droits des personnes sur leurs données personnelles. Il faut donc les intégrer à nos programmes pour être en respect avec la législation.

Dans la majeure partie des cas, voici ce que nous devons prendre en compte dans nos projets :

• Le droit à l’effacement : toute personne doit avoir la capacité de supprimer l’ensemble des données que nous possédons sur elle. Nous sommes aussi dans l’obligation de supprimer les données transmises à un tiers ou un autre logiciel.
• Le droit à la restriction du traitement : tout utilisateur doit pouvoir empêcher le traitement de ses données s’il le demande.
• Le droit à la portabilité des données :  il est ici question de pouvoir récupérer l’ensemble des données que l’on possède sur l’utilisateur. Cet export doit être dans un format structuré, couramment utilisé et lisible par une machine afin que le traitement puisse être automatisé.
• Le droit à la rectification : toute personne doit pouvoir modifier les données la concernant, même celles obtenues d’une source externe.
• Le droit d’être informé : les utilisateurs doivent consentir à l’utilisation de ces données. Ce consentement ne doit pas être activé par défaut et doit venir de l’action de l’utilisateur (en cochant une case par exemple). Si la personne est un enfant (moins de 16 ans), il est nécessaire d’avoir la permission de ses parents ou de son tuteur légal.
• Le droit d’accès : toute personne a le droit d’accès à l’ensemble de ses données même celles issues d’un traitement de celles-ci.
• La minimisation des données : il ne faut récupérer que les données nécessaires.
• L’intégrité et la confidentialité : il faut assurer l’intégrité et la confidentialité des données personnelles tout au long des différents processus.
• La conservation des données : une donnée ne peut être conservée indéfiniment. Il faut lui imposer une durée de conservation en fonction de l’objectif ayant conduit à sa collecte. Une fois que l’objectif est atteint, la donnée doit être archivée, supprimée ou anonymisée.

Dans ces conditions, comment faisons-nous pour traiter des données personnelles ?

D’après la réglementation, pour traiter une donnée personnelle, il nous faut le consentement de l’utilisateur. Cette demande de consentement doit être explicite et indiquer les différents traitements que ces données subiront (la sauvegarde de la donnée en constitue un). Cependant, pour qu’un utilisateur nous donne son accord, il est préférable que la liste des traitements soit la plus courte possible. La solution est de de les faire sur une donnée anonymisée (mais il faudra quand même le consentement de l’utilisateur pour la sauvegarde et l’anonymisation).

Comment transformer des données personnelles en données anonymes ?

Comme évoqué, une donnée personnelle est une donnée qui permet d’identifier une personne. Ainsi pour anonymiser une donnée il faut enlever le ou les caractères qui peuvent permettre l’identification d’une personne.

Une possibilité est de travailler avec des données agrégées, ainsi une donnée ne représente plus une seule personne mais un groupe de personnes. Ce regroupement peut avoir lieu selon différents critères qui vous semblent probant dans le cadre de votre projet. Cependant, il faudra veiller à ce que chaque regroupement possède un nombre suffisant de personnes pour que la donnée ne soit plus personnelle.

En effet, si votre regroupement est trop spécifique et que certains groupes ne possèdent qu’une ou deux personnes, alors, cette donnée peut être considérée comme une donnée personnelle. Il est donc nécessaire de connaitre le nombre d’utilisateurs que constitue chaque regroupement. Il faut ensuite traiter les regroupements qui ont un nombre suffisant de personnes pour assurer leur anonymat.

Qui consulter pour s’assurer que nous respectons la législation ?

Chaque entreprise a normalement un contact désigné.  Il y a d’un côté les organismes et les entreprises publiques. De l’autre les entreprises dont le traitement des données est suffisamment spécifique pour justifier le recrutement de cette fonction.

Le DPO (Data Protection Officer ou Délégué à la protection des données) a la connaissance requise et est certifié par la CNIL pour répondre à vos questions sur la protection des données personnelles. Si vous n’avez pas de DPO, vous pouvez contacter directement la CNIL qui pourra vous conseiller dans votre démarche et/ou valider vos processus. Cependant, si vous traitez massivement des données personnelles, vous êtes dans l’obligation d’avoir un DPO pour respecter la législation.

À quoi ressemble la plateforme Azure ?

Pour Microsoft, la plateforme Azure est conforme à la RGPD. Comme pour toutes les solutions Azure, la responsabilité est partagée :

En effet, la plateforme Azure est en charge de fournir les solutions pour protéger les données. Comme le mentionne la RGPD, il est de notre responsabilité de mettre en place correctement ces solutions. Ces technologies peuvent être classifiées en différentes catégories :

• Encryptage au repos : permet d’encrypter les données dans leur stockage.
  • Transparent Data Encryption : encrypte les bases de données telles qu’Azure SQL Database et Azure SQL Data Warehouse,
  • Always Encrypted : encrypte les données sensibles d’une base de données,
  • Azure Disk Encryption : encrypte les disques durs des machines virtuelles,
  • Azure Key Vault : stocke les clés de chiffrement.

• Encryptage en transit : permet d’encrypter les données pendant leur déplacement.
  • VPN Azure : relie deux réseaux à l’aide du protocole VPN,
  • Application Gateway : gère le chiffrement SSL/TLS,
  • ExpressRoute : relie deux réseaux sans passer par Internet.

• Authentification : permet de vérifier et attribuer les bons privilèges à un utilisateur.
  • Azure Active Directory : gère les privilèges de chaque utilisateur,
  • Multi-Factor Authentication : vérifie l’identité de l’utilisateur,
  • Dynamic Data Masking: cache les données sensibles aux utilisateurs sans privilège.

• Supervision : permet d’analyser les actions courantes pour indiquer les possibles menaces.
  • Advanced Threat Analytics : analyse le réseau pour détecter des cyber-attaques,
  • Log Analytics : analyse les logs de nos applications Azure en fonction des alertes paramétrées,
  • Vulnerability Assessment: analyse les vulnérabilités sur nos machines virtuelles.

Nous allons présenter ces différentes technologies et la façon de les mettre en œuvre dans un projet informatique lors d’un prochain article.

Est-ce qu’il y a autre chose à savoir en tant que développeur ?

Oui ! Il reste un point non abordé et qui doit être connu par chaque développeur notamment celui qui développe des applications Web : les cookies/traceurs. En effet la directive 2009/136/CE a posé le principe :

• D’un consentement préalable de l’utilisateur avant le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées.
• Sauf, si ces actions sont strictement nécessaires pour la délivrance d’un service de la société d’information. (Expressément demandé par l’abonné ou l’utilisateur).

Ainsi il est nécessaire d’avoir le consentement de l’utilisateur avant l’utilisation de cookies qui peuvent toucher aux données personnelles. Ces cookies sont liés aux opérations relatives à la publicité ciblée ou certains cookies de mesure d’audience, etc…

Pour conclure

À l’heure où la collecte de données est en extension, les utilisateurs font de plus en plus attention à la façon dont sont utilisés leurs données. Il est vital que la problématique du traitement des données personnelles fasse partie des priorités de l’ensemble des projets informatiques.

Dans le prochain article nous nous concentrerons sur la mise en pratique de la RGPD dans nos différents projets Azure.