Bubble et le RGPD : comment rendre son appli conforme ?
Avant de commencer à construire ton application sur Bubble, tu te poses plusieurs questions de ce qu’il faut faire pour respecter le RGPD ? La récolte et le traitement des données personnelles de tes utilisateurs impliquent bien des règles et des concepts qui prêtent à confusion. On te donne quelques pistes de réflexion sur le sujet et des fonctionnalités à utiliser dans l’outil Bubble.
Qu’est-ce que le RGPD ?
Il s’agit du Règlement Général sur la Protection des Données (General Data Protection Regulation ou GDPR). Ce règlement, qui est pleinement entré en vigueur en mai 2018, encadre le traitement des données personnelles sur le territoire de l’Union européenne et l’Espace économique européen.
Certains pays, non-membres de l’UE ont également ajusté leurs réglementations en ce sens. Par exemple, depuis le Brexit, l’UK a transposé le RGPD dans sa propre loi. Autre exemple, la Suisse qui possède sa propre loi sur la protection des données mais reconnaît le RGPD dans certains cas.
Il convient donc d’être vigilant à ce sujet.
Pour mieux comprendre, définissons ce qu’est une donnée personnelle, ce qu’implique le traitement de cette donnée et qui est concerné par le RGPD. Pour ces 3 points nous allons résumer/citer ce qui est écrit de manière détaillée sur le site de la CNIL et nous baser aussi sur ce que dit Bubble.
Qu'est-ce qu'une donnée personnelle ?
Déjà, la notion de donnée personnelle est à prendre au sens très large. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Les données des personnes morales / des entreprises ne sont pas des données personnelles au sens du RGPD.
Qu’est-ce que le traitement de données personnelles ?
Là encore, la notion de traitement de données personnelles est large. Il s’agit d’une opération portant sur des données personnelles devant avoir un objectif et n’étant pas nécessairement informatisée.
Qui est concerné par le RGPD ?
Tout organisme, public ou privé, peu importe sa taille ou son pays d’implantation ou son activité, traitant des données pour son compte ou pour un tiers, est concerné par le RGPD dès lors :
- Que la récolte ou le traitement est établie sur le territoire de l’Union européenne,
- Ou que son activité cible directement des résidents européens.
Étant donné le champ ultralarge de la définition du RGPD, il y a de très grandes chances que tu doives t’y pencher pour ton entreprise avec ton service juridique ou ton conseiller légal, que ce soit pour le traitement des données en interne de ta boîte ou pour le développement de ton site, web app, plateforme ou outil interne.
Pourquoi ? Parce que les sanctions en cas de non-conformité ne doivent pas être prises à la légère. Au mieux les autorités de contrôle peuvent exiger des mesures correctives spécifiques, au pire, elles peuvent imposer des amendes (de 2 à 4% du CA annuel, plafonné à 20M€).
Du coup, est-ce qu’avec Bubble, je peux être en règle avec le RGPD ?
Bubble et le RGPD
Est-ce que Bubble respecte le RGPD ?
Ce n’est pas tout à fait la bonne question ici, car respecter le RGPD va dépendre également de l’usage qui est fait de Bubble. Il peut y avoir sur Bubble des web apps qui ne respectent pas le RGPD simplement parce que le concepteur de l’app n’a pas respecté une directive sur la récolte et/ou le traitement d’une donnée.
Cela étant dit, l’outil Bubble doit pouvoir mettre à disposition tous les moyens permettant au concepteur d’une Web App de pouvoir respecter le RGPD. Et ce, peu importe sa position. En effet, Bubble peut prendre une position de responsable de traitement de données, c’est-à-dire l’entité qui détermine les finalités et les moyens du traitement des données personnelles. Par exemple, lorsque tu crées un compte sur Bubble, celui-ci devient le contrôleur de tes données personnelles.
Il peut être aussi sous-traitant dans le traitement de données personnelles. Par exemple, si des utilisateurs s’inscrivent sur ta web app construite sur Bubble, tu deviens le contrôleur des données sur Bubble et l’outil Bubble n’est alors que le sous-traitant.
C’est d’ailleurs détaillé dans les CGUs des outils de manière générale. Ils n’engagent pas leur responsabilité sur l’usage qui est fait des données.
Les moyens proposés par Bubble pour se conformer au RGPD
Les cookies par défaut
Le bouton “cookies par défaut”, permet de désactiver la récolte de données du nouvel utilisateur non connecté qui se balade sur la Web App construite avec Bubble. Ainsi, pas besoin de demander le consentement du visiteur si Bubble ne stocke et n’utilise aucun cookie avant connexion.
En revanche, si le concepteur de la web app Bubble a ajouté un script Google Analytics par exemple, il se doit de demander le consentement de l’utilisateur si ce script est chargé à l’ouverture de la page.
Pour rappel, le règlement est très clair là-dessus : L'utilisation de cookies requiert l'accord préalable de chaque utilisateur avant toute opération. Ainsi, il est indispensable d'obtenir leur validation avant de procéder au placement des cookies.
Les règles de Privacy
Bubble propose aussi de configurer des règles de “qui peut voir quoi” entre les utilisateurs et la base de données. Ces règles dites de “Privacy” permettent donc de contrôler quel utilisateur a accès à quelles données et dans quelles circonstances.
Le plugin Cookie Consent (EU)
La possibilité d’utiliser un plugin gratuit disponible dans la marketplace Bubble : le plugin Cookie Consent. Il permet d’afficher un message personnalisé pour annoncer aux utilisateurs les cookies présents dans ton application. 🍪
L’option Opt-in to cookies
Bubble permet de rendre l’acceptation (via consentement express et affirmatif) des conditions d’utilisations et de la politique de protection des données obligatoires avant toute inscription. Cela passe par un “checkbox” et l’utilisation de l’action “Opt-in cookies”.
Il faut toutefois que le concepteur de la web app développe le contenu des pages CGU et Privacy.
À noter qu’il existe aussi l’action “Opt-out from cookies” pour se désinscrire de l’installation de cookie par la techno Bubble.
Donner la possibilité à l’utilisateur de supprimer ses données
Bubble permet de supprimer à la volée des données directement via son éditeur. Les utilisateurs de la Web App ont également la possibilité de supprimer des données les concernant, voire de supprimer leur compte utilisateur, leur donnant ainsi un contrôle total si ces logiques sont implémentées. Ici on parle du “droit à l’oubli”, aussi connu comme “droit à l’effacement”, qui permet aux utilisateurs à demander la suppression de leurs données personnelles.
Il faut donc, dès la conception de l’application sur Bubble, penser à la récolte, au traitement des données et au pourquoi de ce traitement (l’objectif). Cet état d’esprit “Privacy By Design” que l’on peut traduire par “confidentialité dès conception”, va permettre de résoudre beaucoup de problématiques RGPD plus simplement car elles seront anticipées.
Par défaut, toutes les données sont stockées sous Amazon AWS US (donc pas en Europe, il faut en être conscient dès le départ). Si cela pose souci, il faut soit demander à Bubble un hébergement dédié en Europe (moyennant un devis personnalisé) soit externaliser la base de données pour un hébergement en Europe via un tiers (Amazon AWS Europe par exemple ou encore Xano).
Bonus : quelques tips Bubble pour les plus aguerris
- Dans Settings → General, l’option de ne pas définir des cookies pour les nouveaux visiteurs par défaut peut être utile.
- Toujours faire attention aux règles de confidentialité dans Data → Privacy. Les utilisateurs auront l’accès seulement aux données dont ils ont besoin.
- Ajouter une fonctionnalité qui permet aux utilisateurs d’avoir le contrôle sur leurs données voire de supprimer leurs données. À optimiser dans le workflow “Delete a thing”.
- Être vigilant quant aux plugins et/ou custom code qui peuvent ajouter des cookies dont il faudrait faire mention dans les CGU/Privacy de ta Web App.
Tu as un projet sur Bubble, découvre notre Agence bubble
Quelques pistes générales pour tendre vers la compatibilité RGPD
Se poser les bonnes questions
Avant toute chose, il va falloir s’interroger sur les données personnelles et leur traitement.
Quel type de données personnelles vas-tu récolter ? Sont-elles sensibles ? Pour quels usages ?
Bien lire les CGUs et la politique de confidentialité des outils
Afin de faciliter le choix de ton outil et d’être plus serein pour la suite.
Parfois il est possible de contourner l’effet bloquant sous certaines conditions. Ces conditions doivent être examinées avant toute chose.
Par exemple : tu peux utiliser Xano pour héberger les données de ta web app Bubble, cela te demande cependant un investissement de développement supplémentaire et un coût.
Prendre soin des informations
Donner toutes les informations nécessaires aux futurs utilisateurs de ta web app ou de ta plateforme est un indispensable. L’information en elle-même, doit être claire, concise et transparente. Si possible ou nécessaire, il vaut mieux anonymiser ou pseudonymiser certaines informations.
Le traitement des données
Outre le fait qu’il faille donner la possibilité aux utilisateurs de te contacter facilement au sujet de leurs données, il convient également de faire attention à la sécurité de ces données : s’il y a une faille dans le système, tous les efforts précédents tombent à l’eau.
Ne pas oublier que dans environ 90% des cas, la faille se situe entre l’ordinateur et la chaise. 🫠
Conclure sur cette intro au RGPD
Est-il possible de créer un produit RGPD friendly avec Bubble ? Oui, cela nécessite une connaissance des normes et une conception du produit qui les respecte en termes de collecte et de traitement des données.
Ici, on te donne quelques lignes de réflexion et une base sur le RGPD qui est beaucoup plus complexe que ne le laisse paraître cet article. Pour maximiser tes chances d’être conforme, si le sujet est important selon ton contexte, nous te conseillons de consulter un expert légal du domaine.
Pour approfondir tes connaissances, voici quelques ressources supplémentaires :
Côté Bubble :
Introduction au RGPD pour les applications Bubble
Côté CNIL & RGPD :
CNIL - RGPD : de quoi parle-t-on ?
Comment intégrer le RGPD à votre startup ?