guide/rgpd-vie-privee.md

Respecter le RGPD et la vie privée by design

Ce guide s'adresse à qui construit ou maintient déjà une application web et veut la mettre en conformité RGPD sans sur-ingénierie. Il suppose acquises les notions de base (donnée personnelle, base légale, responsable de traitement). L'objectif : des actions vérifiables, pas un exposé juridique.

Principe directeur : on ne protège bien que ce qu'on ne collecte pas. Chaque étape ci-dessous ramène à la minimisation.

1. Cartographier ce que vous traitez réellement

Avant toute mesure technique, faites l'inventaire honnête des données personnelles qui transitent par le système.

  • Listez chaque champ personnel stockĂ© et sa finalitĂ©. Si un champ n'a pas de finalitĂ© claire, supprimez-le.
  • Distinguez les comptes authentifiĂ©s (e-mail, mot de passe hachĂ©, secret 2FA Ă©ventuel) du reste. RĂ©duisez les champs au strict nĂ©cessaire Ă  l'authentification.
  • VĂ©rifiez si vous traquez des visiteurs : une vitrine ou un site public en lecture anonyme peut souvent fonctionner sans cookie de suivi ni analytics. Si c'est le cas, ne posez rien.
  • Notez explicitement l'absence de donnĂ©es de tiers quand elle est rĂ©elle : un environnement de dĂ©v ou de dĂ©monstration n'a pas Ă  hĂ©berger de donnĂ©es clients.

Livrable de l'étape : un registre court (un tableau champ / finalité / durée) qui reflète la réalité, sans sur-déclaration.

2. Appliquer la minimisation dès la conception

Pour chaque nouveau formulaire, endpoint ou fonctionnalité, posez la question avant d'écrire le code : ai-je besoin de cette donnée pour la finalité ?

  • Ne collectez aucun champ personnel au-delĂ  du nĂ©cessaire.
  • PrĂ©fĂ©rez l'anonyme au pseudonyme, et le pseudonyme au nominatif.
  • Par dĂ©faut, pas de traceur, pas de log applicatif contenant des donnĂ©es personnelles.

3. Sécuriser les secrets d'authentification

Le security by design est indissociable du privacy by design.

  • Mots de passe : stockez-les uniquement via un algorithme de hachage fort et Ă  jour (fonction native de hachage du framework, jamais un chiffrement rĂ©versible ni un hash rapide).
  • Jetons d'API : ne stockez jamais le jeton en clair. Conservez uniquement son empreinte (hash cryptographique robuste), et prĂ©voyez rotation et rĂ©vocation.
  • Double authentification (2FA) : proposez-la sur les comptes, au minimum sur les comptes Ă  privilèges.

4. Chiffrer le transport de bout en bout

  • Servez tout le trafic en HTTPS, sans exception.
  • Activez HSTS et les en-tĂŞtes de sĂ©curitĂ© HTTP standards.
  • VĂ©rifiez qu'aucune ressource n'est servie en clair (mixed content).

5. Outiller les droits des personnes

Même sur un périmètre réduit, prévoyez les mécanismes d'exercice des droits.

  • Accès / rectification / suppression : offrez un point d'administration (ex. un Ă©cran de gestion des utilisateurs) permettant a minima la crĂ©ation et la consultation, puis l'Ă©dition et la suppression. Documentez qui peut agir.
  • Conservation : dĂ©finissez une durĂ©e. Le plus simple reste : pas de conservation au-delĂ  de la vie du compte, et aucune archive de navigation.

6. Traiter le volet IA comme un traitement à part entière

L'ajout d'une brique IA ne doit pas rouvrir une brèche vie privée. Objectif : que la chaîne IA ne traite aucune donnée personnelle.

  • GĂ©nĂ©ration via une API LLM : n'envoyez au fournisseur que du contenu documentaire et des requĂŞtes fonctionnelles — jamais de donnĂ©es personnelles. Filtrez / caviardez en amont ce qui part dans le prompt.
  • Embeddings / index vectoriel : calculez-les localement sur vos contenus non personnels ; n'expĂ©diez pas de donnĂ©es personnelles Ă  un tiers pour vectorisation.
  • Veille ou collecte agentique : restreignez les sources aux sources publiques (flux, sites officiels) ; ne collectez aucune donnĂ©e personnelle au passage.
  • Traitez Ă  part, au niveau doctrine, les questions de transferts hors UE, de base lĂ©gale et de sous-traitance du fournisseur LLM : ce sont des dĂ©cisions Ă  documenter, pas des rĂ©glages de code.

7. Se relire de façon adverse

Avant de considérer la conformité acquise, relisez comme un attaquant ou un contrôleur :

  • Existe-t-il un champ collectĂ© sans finalitĂ© ? Un log qui fuite un e-mail ?
  • Un jeton stockĂ© en clair quelque part ? Un endpoint sans HTTPS ?
  • Une donnĂ©e personnelle qui part discrètement dans un prompt LLM ?

Reprenez à l'étape correspondante tant qu'une réponse est « oui ».

Voir aussi

Assistant documentaire

Posez une question sur la documentation. Les réponses citent leurs sources — un clic ouvre le document à gauche.