RGPD et NoCode : Que doit-on savoir ?
Peut-on développer un produit digital RGPD friendly en NoCode ? Si tu te poses cette question, tu es au bon endroit.
Le rôle du Règlement Général sur la Protection des Données, c’est d’encadrer le traitement des données personnelles sur le territoire de l’UE et sur l’espace économique européen.
La donnée, c’est un sujet sensible dans le domaine de développement d’application en NoCode, personne n’a envie de se faire épingler par la CNIL (Commission nationale de l’informatique et des libertés).
Alors comment faire ? Doit-on abandonner son projet en NoCode au profit du code ?
Dans cet article, on va te donner des pistes pour bien comprendre dans quoi tu mets les pieds quand tu décides de faire appel au NoCode pour concrétiser ton projet digital en prenant en compte le RGPD.
Comprendre le NoCode et ses outils
Le NoCode fait référence à des technologies de développement informatique qui permettent de créer des solutions numériques en programmation visuelle ( très souvent sans nécessiter d’utiliser du code classique) car il faut bien des compétences en programmation pour du Nocode.
Les outils NoCode prennent la forme de plateforms SaaS (autrement appelés “éditeurs”) sur lesquelles on va pouvoir développer une application ou un site web à l’aide d’éléments visuels plus ou moins complexes. La convivialité de l’interface de ces outils permettent des développement plus intuitifs et plus rapide que le code traditionnel.
Alors est-ce que ça change quoique ce soit au RGPD de développer en code ou en NoCode ?
Pour le savoir, intéressons nous au RGPD.
Si tu veux en savoir plus sur le NoCode, lis le NoCode c’est quoi ?
Comprendre le RGPD
Le RGPD est une réglementation de l’Union européenne entrée en vigueur en 2018, qui vise à protéger les données personnelles des individus sur le territoire Européen.
Ce règlement est donc un enjeu majeur pour les entreprises et les organisations qui traitent des données personnelles et qui doivent de fait, respecter certaines normes strictes en matière de collecte, de stockage et de traitement des données sous peine de sanctions.
Donnée personnelle, de quoi parle-t-on ?
La notion de donnée personnelle est à prendre au sens large, il s’agit de toute information se rapportant à une personne physique identifié ou identifiable.
Comment identifier une personne physique ?
Directement par son nom et prénom ou bien indirectement par un numéro (identifiant, téléphone, etc), une donnée biométrique, sa voix, son image ou encore des éléments spécifiques propres à son identité.
Par exemple : une base de données marketing qui contiendrait des informations précises sur la localisation, l’âge, le comportement d’achat sera considéré comme un traitement de données personnelles même sans avoir de nom ou de prénom, à partir du moment où les informations croisées permettent de remonter à une personne physique.
Et les données sensibles dans tout ça ?
La donnée sensible est une catégorie spécifique des données personnelles, voici ce que la CNIL en dit.
On sera donc d’autant plus vigilant lors de la conception de produits digitaux dans les domaines médicaux qui nécessitent le traitement de ce type de données.
Le traitement des données personnelles, c’est quoi ?
Cette notion est aussi à prendre au sens large puisqu’il s’agit des opérations portant sur les données personnelles. Le traitement englobe de nombreux procédés (collecte, enregistrement, conservation, modification, extraction, etc).
À noter que les fichiers papiers sont également concernés par le RGPD et doivent nécessiter les mêmes attentions.
Autre information, le traitement des données doit servir un objectif précis. On ne peut traiter des données personnelles que dans l’optique qu’elles servent un jour.
Par exemple, lorsque l’on collecte les données personnelles d’un internaute en vue d’une inscription à une newsletter, l’objectif est de lui envoyer la newsletter pas de lui proposer des promotions ou de conserver les données pour un autre objectif.
Les principes clés du RGPD
Transparence : en tant qu’entreprise, il faut être transparent sur la manière dont sont traitées les données personnelles.
Consentement : le consentement des individus est indispensable pour le traitement de leurs données.
Droit à l’oubli : les individus ont le droit de demander la suppression de leurs données, les entreprises sont tenues de le proposer.
Qui est concerné exactement ?
Tout organisme public ou privé qui traite des données personnelles pour son compte ou non, à condition qu’il soit établie sur le territoire de l’EU ou que son activité cible les résidents Européens.
Sont aussi concernés par le RGPD les sous-traitants, soit ceux qui traitent des données personnelles pour le compte d’autres organismes.
C’est là que la question des outils NoCode prend plus de sens.
NoCode et RGPD, est-ce que ça matche ?
La réponse est *roulement de tambours* : ça dépend.
Il y a deux éléments à prendre en compte pour répondre à cette question.
Le premier c’est que la plupart des outils NoCode ne sont pas français. Il faut donc s’interroger sur le parcours des données personnelles durant leur traitement.
- Où sont-elles stockées ?
Beaucoup de serveurs sont situés aux Etats-unis, donc en dehors de l’EU, donc les données sortent du cadre du RGPD.
- Par où transitent-elles ?
Si ta donnée est stockée en Europe mais qu’elle passe par les Etats-Unis pour y parvenir, c’est pareil.
Il convient de bien se renseigner sur le circuit de la donnée à partir du moment où elle devient ta responsabilité.
- Par quel outils sont-elles traitées ?
Si tu construis ton produit sur un outil NoCode, tu deviens alors le responsable des données traitées et l’outil devient ton sous-traitant. Tu te rappelles ce que tu as lu plus haut ? Le sous-traitant est aussi concerné par le RGPD, donc il faut t’assurer que l’outil utilisé soit RGPD Compliant.
RGPD compliant signifie que l’outil met en place des mesures pour garantir la confidentialité, la sécurité et l’intégrité des données personnelles conformément aux directives du RGPD.
Le second, c’est de regarder au cas par cas, chaque outil, pour s’assurer de ce qui peut être mis en place afin de se mettre en conformité avec le RGPD. Ce n’est pas parce que la donnée quitte l’Europe, qu’on ne peut pas se conformer aux RGPD, au contraire.
Les outils et le RGPD
On va maintenant te donner notre avis sur les outils que nous utilisons chez SuperForge.
Bubble et le RGPD
Bubble est un outil américain qui se présente en tant que plateforme tout-en-un pour construire des applications web. Les serveurs sont hébergés par AWS, aux Etats-Unis. L’outil propose des moyens pour se conformer au RGPD comme par exemple, la mise en place de cookies par défaut, les règles de privacy, le plugin cookie consent (EU) ou encore donner la possibilité à l’utilisateur de supprimer ses données. En bref, de quoi rassurer sur la protection des données.
Si l’outil te donne des éléments pour concevoir un produit RGPD friendly, la responsabilité dépendra du développeur qui devra penser au RGPD dès la conception de l’application.
Il existe une autre option, celle d’héberger les données ailleurs. On peut le demander à Bubble moyennant un coût supplémentaire (non négligeable) ou bien ajouter un autre back-end à Bubble qui héberge en Europe (pas toujours idéal).
Tu as un projet d'application web ? Contacte notre Agence Bubble
Webflow et le RGPD
Webflow est aussi un outil américain qui permet de concevoir des sites web, cependant la plateforme tend à respecter au maximum la protection des données Européenne.
Sur un site vitrine, on ne récolte aucune donnée en dehors des fameux cookies. On peut donc y intégrer une gestion du consentement des cookies pour entrer en conformité, de type Axept.io par exemple.
Sur un site e-commerce en revanche, il va falloir être plus vigilant et s’assurer de la transparence des pratiques grâce à une politique de confidentialité exhaustive, un traitement de données sécurisée et des formulaires consentis.
Tu as un projet de site web ? Contacte notre Agence Webflow
WeWeb et le RGPD
WeWeb est un outil front-end français qui permet de construire des applications Web. Il ne traite donc aucune donnée, en revanche, il faut se pencher sur l’outil back-end qui lui sera associé.
Pour en savoir plus sur Weweb, tu peux lire WeWeb tout savoir sur l’outil.
Xano et le RGPD
Et justement, voilà un outil back-end qu’on adore associer à WeWeb, dont le but est de gérer des bases de données.
Xano est une entreprise américaine, cependant, l’outil met un point d’honneur à être RGPD compliant par le biais de nombreuses actions :
- Une politique de confidentialité qui respecte le RGPD
- Capacités et fonctionnalités de sécurité supplémentaires pour les données plus sensibles
- Certifications tierces et rapports d’audit pour évaluer les risques et ainsi déterminer les mesures techniques à mettre en place.
- Possibilité d’héberger les données sur des serveurs européens.
Tu veux en savoir plus ? Lis Xano, l’outil NoCode back-end fiable et scalable
Comment s’assurer d’être RGPD friendly lors de la construction de son app ?
Mettre en place les bonnes pratiques
1/ Choisir des outils NoCode qui offrent des fonctionnalités de sécurité avancées, comme par exemple le chiffrage des données et la gestion des accès.
Il convient de bien se renseigner sur les outils qui vont être mis en œuvre dans le projet.
2/ S’assurer d’obtenir le consentement explicite des utilisateurs avant de collecter leurs données personnelles.
3/ Limiter le traitement des données à ce qui est nécessaire aux objectifs fixés. Une vigilance supplémentaire pour les données sensibles est à prendre en compte.
4/ Garantir la transparence sur la manière dont les données des utilisateurs seront utilisées et stockées.
5/ S’assurer que les développeurs soient au fait des principes de base du RGPD et puisse mettre en place des mesures de sécurité robustes pour protéger les données par le biais des outils NoCode utilisés.
6/ Réaliser des audits réguliers pour s’assurer que le produit soit utilisé de manière conforme aux exigences du RGPD.
Les outils NoCode offrent de nombreuses possibilités pour concevoir et développer des applications ou sites web en respectant les mesures du RGPD. La responsabilité ne repose pas seulement sur les épaules de l’outil mais également sur celle du prestataire de développement et du client. En suivant les meilleures pratiques et en demeurant vigilant quant aux obligations en matière de protection des données, il est possible de tirer parti de ces outils, de garantir la confidentialité et la sécurité des données personnelles.
Le sujet reste toutefois complexe, au moindre doute, nous te conseillons de te rapprocher de la CNIL ou d’un expert légal en la matière.