L'introduction de la législation européenne sur confidentialité des données en ligne aura des conséquences importantes sur la manière dont les organisations traitent les données personnelles de leurs utilisateurs en termes de sites Web et applications, qu'elles soient Android ou IOS. Cette nouvelle loi pose des questions aux organisations qui traitent régulièrement des données personnelles de résidents européens.
Quel impact la législation a-t-elle sur les applications et les opérations Web en ligne ?
De manière générale, cette loi garantit qu'un individu a le contrôle de ses données. Cela signifie que lorsqu'une organisation demande des informations personnelles en ligne, elle doit dire au client ce qu'il advient de ses données.
Les principaux aspects de cette nouvelle législation sont les suivants :
- Accès plus facile à vos propres données. L'utilisateur dispose de plus d'informations sur la manière dont ses données sont utilisées. Ces informations doivent être mises à disposition de manière claire.
- Possibilité de déplacer des données. Il devrait être plus facile de transférer vos données personnelles à un autre fournisseur de services.
- Possibilité de supprimer vos données. Si vous ne souhaitez plus que vos données soient utilisées et qu'il existe une raison valable, vous devez supprimer vos données personnelles.
- Sachez quand vos données ont été piratées. Au moment où une organisation a été piratée, vous devez informer l'autorité compétente de cet événement dès que possible. De cette façon, les utilisateurs peuvent prendre les mesures.
Alors, comment mettre en œuvre une application conforme ? RGPD et donne à l'utilisateur le contrôle de ses données personnelles ? Voici quelques conseils pour l'appliquer.
Conseils pour développer des applications conformes au RGPD
Déterminez si l'application a besoin de toutes les données personnelles qu'elle demande
L'implémentation de confidentialité idéale pour se conformer au RGPD est de collecter le moins de données personnelles possible. Avec les données personnelles, vous pouvez penser à : nom, date de naissance, lieu de résidence, etc. Ceci, bien sûr, n'est pas possible dans toutes les situations, car cette information est parfois nécessaire. Il est important dans toute situation que la direction et les développeurs déterminent quelles sont les informations les plus nécessaires à collecter.
Crypter toutes les informations personnelles
Si une application a besoin de stocker des informations personnelles sensibles, il est important de crypter correctement ces données à l'aide d'algorithmes de cryptage puissants, y compris le hachage. Dans le cas de la violation de données d'Ashley Madison, toutes les informations étaient disponibles en texte brut.
Cela a eu des conséquences importantes pour ses utilisateurs. Il doit être explicitement indiqué que toutes les données personnelles sont cryptées, de sorte que ces données ne peuvent pas être utilisées en cas de piratage de l'application Web. Cela comprend également des informations sur : l'adresse, les numéros de téléphone et le lieu de résidence.
Pensez OAUTH pour transférer des données
Avec OAuth, les utilisateurs peuvent créer un compte simplement en utilisant un autre compte. Ces protocoles fournissent une authentification unique et ne permettent pas de collecter plus d'informations que nécessaire.
Utiliser une communication sécurisée via HTTPS
De nombreuses organisations n'utilisent pas HTTPS pour leurs sites Web car on pense que ce n'est pas nécessaire. Par exemple, si une application ne nécessite aucun type d'authentification, HTTPS peut ne pas sembler nécessaire. Cependant, il est facile de manquer quelque chose. Certaines applications collectent des informations personnelles via le formulaire "Contactez-nous".
Si ces informations sont transmises en clair, elles seront visibles sur Internet. Aussi, vous devez vous assurer que Certificats SSL sont appliqués correctement et ne sont pas sensibles aux dangers liés aux protocoles SSL.
Faites savoir aux utilisateurs comment vous gérez les informations « contactez-nous »
Les applications ne se contentent pas de collecter des informations via l'authentification ou les abonnements. Les données sont également collectées via les formulaires de contact. Il s'agit généralement d'informations personnelles telles que : numéro de téléphone, lieu de résidence et adresse e-mail. Il informe les utilisateurs pendant combien de temps et comment ces données sont stockées. Il est fortement recommandé d'utiliser une bonne sécurité pour stocker ces informations.
Assurez-vous que les sessions et les cookies expirent
Pour se conformer au RGPD, les utilisateurs doivent être conscients de la manière dont l'application utilise les cookies. L'utilisateur doit être informé que l'application utilise des cookies et avoir la possibilité de refuser les cookies. Assurez-vous que les cookies sont correctement supprimés si quelqu'un se déconnecte ou n'est plus actif.
Ne suivez pas les utilisateurs pour l'intelligence d'affaires
De nombreuses applications de commerce électronique suivent les utilisateurs pour voir ce qu'ils recherchent à l'aide des résultats de recherche et des produits qu'ils achètent. Des entreprises comme Netflix et Amazon utilisent souvent ces informations pour afficher des suggestions de produits. Ces informations étant stockées à des fins commerciales, l'utilisateur doit avoir la possibilité de les accepter ou non.
Si le consentement est donné ultérieurement pour conserver ces informations, l'utilisateur doit être informé de la manière dont ces informations sont stockées et pour combien de temps. Bien sûr, toutes les informations personnelles doivent être cryptées.
Informer l'utilisateur sur les enregistrements
De nombreuses applications utilisent des emplacements ou des adresses IP pour autoriser une connexion. Ces informations sont stockées au cas où quelqu'un tenterait de contourner cette authentification. Avertit les utilisateurs que ces informations seront stockées et pour combien de temps. Ne stockez pas d'informations sensibles dans les journaux, comme le mot de passe.
Questions de sécurité
De nombreuses applications utilisent des questions de sécurité pour confirmer l'identité d'un utilisateur. Essayez de vous assurer que ces informations ne contiennent aucune donnée personnelle, comme le nom de la mère de l'utilisateur et même pas la couleur préférée. Dans la mesure du possible, essayez d'utiliser l'authentification à deux facteurs. Si cela n'est pas possible, laissez l'utilisateur poser ses propres questions et avertissez qu'il contient des informations personnelles. Les informations personnelles doivent être stockées cryptées.
Établissez des termes et conditions clairs
N'essayez pas de cacher vos termes et conditions. Pour être conforme au RGPD en vertu de la nouvelle législation européenne sur la protection de la vie privée, les termes et conditions doivent être disponibles sur la page de destination. De plus, les termes et conditions doivent être clairs et accessibles à tout moment lorsque l'utilisateur navigue sur l'application.
Les utilisateurs doivent accepter les termes et conditions avant de pouvoir accéder à l'application. Ceci s'applique notamment lorsque les conditions générales ont été modifiées. Il va sans dire que les termes et conditions sont disponibles dans une langue que tout le monde peut comprendre.
Partage de données avec d'autres parties
Si votre organisation partage des données personnelles avec d'autres parties, cela doit être indiqué dans les conditions générales. Cela peut se faire par le biais d'affiliés, d'agences gouvernementales ou de plugins tiers.
Établissez des directives claires si votre application est piratée
L'un des aspects les plus importants de Législation européenne est que les utilisateurs doivent être avertis si une application a été piratée. Les organisations doivent établir des lignes directrices claires pour décrire la tâche et les mesures que l'organisation prendra. Gardez à l'esprit que l'utilisateur est informé en temps opportun.
Supprimer les données des utilisateurs qui arrêtent le service
De nombreuses applications Web n'indiquent pas clairement ce qu'il advient des informations personnelles lorsqu'un compte est supprimé ou que quelqu'un annule. Avec la nouvelle législation, les entreprises doivent supprimer toutes les informations personnelles. Il doit être entendu que quelqu'un peut cesser d'utiliser le service, puis ses informations seront supprimées. Les organisations qui traitent un compte supprimé comme inactif peuvent être contraires à la loi.
Éliminer les vulnérabilités
L'un des plus grands risques pour la vie privée survient parce que l'application est vulnérable. Il s'agit toujours d'un risque lorsqu'un système traite des informations utilisateur sensibles. Une application qui n'a pas été développée pour détecter les risques à temps est plus susceptible d'être piratée. Assurez-vous que votre organisation dispose d'un programme pour détecter les cyber-risques et effectuer des tests de sécurité.