Sécurité web et RGPD

Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018, établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (nom, e-mail, adresse IP…) et des règles relatives à la libre circulation de ces données.

La création de votre site internet ou votre application web doit donc respecter la mise en conformité RGPD et disposer d'un niveau de sécurité adapté à la sensibilité des informations traitées. La finalité d'une telle action européenne est d'apporter plus de sécurité dans la vie de nos concitoyens sur internet. C'est d'autant plus vrai sur des sites institutionnels.

Une législation européenne

L'Union européenne a mis en place ce règlement pour assurer une cohésion des libertés dans la zone euro. Le responsable de l'application du règlement européen en France est la CNIL. Elle accompagne le responsable du traitement qui est généralement le représentant légal de la société. Elle a un pouvoir de contrôle et de sanction en cas de non mise en conformité de votre outil web. Elle agit principalement en amont et a un rôle d'alerte, d'accompagnement, de conseil et d'information. Suivant la taille de votre structure, vous pourrez être amené à désigner un DPO, délégué de la protection des données.

En tant que membre de l'Union européenne, le respect de la conformité n'est pas une option. Le règlement européen donne explicitement les informations sur les étapes à respecter et le caractère obligatoire du projet. Dans un but d'accompagnement, la CNIL a mis à disposition la documentation nécessaire à la création du registre des traitements et à la mise en œuvre des différentes étapes de mise aux normes. Le recensement des données récoltées pourra ainsi être controlé à tout moment.

Respect du RGPD au sein de votre projet web

La mise en conformité RGPD est un vaste sujet, mais voici les quelques points clés spécifiquement liés à votre projet web :

  • Vous devez informer vos utilisateurs au sujet de la collecte de leurs données personnelles avant leur obtention, en indiquant notamment la finalité de traitement et la durée de conservation. Le détail des traitements peut être indiqué sur une page dédiée ou au sein des mentions légales.
  • Vous devez obtenir le consentement explicite de vos utilisateurs pour obtenir leurs données personnelles. Cela peut donc se traduire par une case à cocher en bas d'un formulaire, mais aussi sous la forme d'une popup si vos outils statistiques récoltent l'adresse IP des utilisateurs. Le consentement est également obligatoire pour le dépôt de cookies n'étant pas strictement nécessaire au bon fonctionnement du site internet.
  • Vous devez permettre la portabilité des données récoltées et leur suppression, sous réserve des obligations légales de conservation. Vous disposez d'un délai pour prendre en compte les demandes de vos utilisateurs, il n'est donc pas nécessaire de prévoir un système automatisé si votre projet web ne s'y prête pas.
  • Vous devez stocker les données de manière sécurisée et les supprimer au-delà de la durée de stockage contractuelle et/ou légale. Les moyens de sécurité déployés doivent être adaptés à la quantité de données récoltées et à leur niveau de sensibilité.

Toutefois, si la mise en œuvre des conformités RGPD dans la collecte de données client peut être initialement perçue comme une contrainte, nous vous invitons à plutôt le voir comme une opportunité de compléter la conception UX avec une vraie réflexion orientée autour de la protection de la vie sur internet de vos utilisateurs. Votre démarche sera appréciée et vous permettra de vous différencier d'une concurrence plus légère sur ces sujets. Nous prenons en tout cas à cœur de vous assurer un accompagnement et un conseil dans cette réflexion sur les libertés dès le lancement de votre projet web.

Goupil, constructeur de véhicules utilitaires électriques, réalisé en conformité avec le RGPD.

La sécurité au cœur de nos développements

Selon le dernier rapport d'Akamai, 400 millions d'attaques ont eu lieu sur la toile entre novembre 2017 et avril 2018. La sécurité joue un rôle important dans nos choix technologiques, en complément des problématiques de fiabilité et de performance.

Seulement 27 vulnérabilités ont été découvertes sur le framework PHP open source Symfony de 2012 à 2018, contre 165 sur Wordpress, selon CVE. Par ailleurs, les modules développés sur mesure sont moins sujets aux attaques massives que les modules communautaires, dont les failles sont publiquement diffusées et exploitées si aucune mise à jour n'est effectuée.

Nous portons une attention particulière à la sécurité de chaque projet en fonction de ses spécificités et de la sensibilité des données traitées. Nous veillons à les protéger contre les principales menaces, telles que les injections SQL (51 % des attaques selon Akamai), les attaques XSS ou encore le Cross Site Tracing.

Espace client de Neftys, 1re plateforme de financement des entreprises innovantes.