Avant de pouvoir mettre en production une application ou un logiciel, il est nécessaire de procéder à des tests de développement. Cette phase est indispensable avant le déploiement du programme (aussi appelé « mode run »). Ces tests doivent notamment permettre de détecter et de corriger d’éventuels dysfonctionnements.
Lorsqu’il s’agit d’un outil amené à traiter des données à caractère personnel, il est nécessaire de prendre en compte cette dimension dès les phases de test. La Commission nationale de l’informatique et des libertés (la Cnil) l’a rappelé à l’occasion d’une mise en demeure prononcée le 8 octobre 2018 (Décision n°MED-2018-043 du 8 octobre 2018).
Quels sont les faits ?
La société mise en demeure développe des outils lui permettant notamment d’établir des profils d’utilisateurs dans le but de leur adresser des publicités ciblées pour le compte de ses clients.
Le 29 mai 2018, la Cnil a diligenté une mission de contrôle de la conformité de la société, notamment au règlement général sur la protection des données (RGPD), en application depuis le 25 mai 2018.
A l’occasion de ce contrôle, la Cnil a notamment analysé les pratiques de la société en matière de tests de développement, au regard de son obligation de garantir la sécurité et la confidentialité des données.
L’obligation d’assurer la sécurité et la confidentialité des données
Toute entité traitant des données à caractère personnel, qu’elle soit responsable du traitement ou sous-traitant, est soumise à une obligation de sécurité. En application de l’article 32 du RGPD et de l’actuel article 34 de la loi n°78-17 dite « loi Informatique et Libertés », elle doit mettre en œuvre des mesures adéquates pour garantir la sécurité et la confidentialité des données.
Toutefois, les mesures à mettre en oeuvre ne sont pas définies par la réglementation. Les entités sont libres de déterminer les mesures qu’elles estiment adéquates au vu du traitement effectué. La Cnil est amenée à contrôler l’adéquation de ces mesures lors des procédures de contrôle. A cette occasion, elle peut être amenée à préciser sa position sur certaines pratiques.
A ce titre, la formation restreinte se prononce notamment sur deux pratiques de la société relatives aux tests de développement.
Séparer environnement de tests et environnement de production, une « précaution élémentaire »
La société a informé la Cnil qu’elle procédait à des tests de développement directement dans l’environnement de production, c’est-à-dire celui utilisé au quotidien par l’outil.
La Cnil s’est déjà exprimée sur cette pratique, notamment dans une fiche dédiée à la sécurité des développements informatiques. Elle y indique explicitement que l’une des « précautions élémentaires » à appliquer est d’effectuer les tests dans un environnement informatique distinct de celui de la production.
Cette recommandation n’est pas simplement une bonne pratique à suivre puisque la formation restreinte met en demeure la société de mettre en place « une politique de séparation entre les environnements de tests de développement (ou de recette) et les environnements de production ».
Le risque d’utiliser des données à caractère personnel lors des tests de développement
Au cours du contrôle, la Cnil a été informée que la société utilisait des données à caractère personnel issues de sa base de données de production, lors des tests de développement.
La formation restreinte indique qu’utiliser des « données à caractère personnel réelles » lors des tests présente un risque pour leur intégrité. En effet, un outil en phase de développement n’est, par définition, pas encore abouti. Il est susceptible de contenir des vulnérabilités et des dysfonctionnements pouvant compromettre l’intégrité des données traitées. De plus, la formation restreinte souligne que les équipes procédant aux développements et aux tests ne sont pas nécessairement habilitées à avoir accès aux données à caractère personnel.
La formation restreinte précise que « dans l’hypothèse où des données réelles seraient néanmoins requises, celles-ci devraient être anonymisées ». Pour rappel, une donnée anonyme au sens de la réglementation est une donnée qui ne peut être rapportée à une personne physique identifiée ou identifiable (RGPD, considérant 26). Si une « donnée réelle » est anonymisée, il ne s’agit plus d’une donnée à caractère personnel, et le traitement occasionné n’est plus soumis au respect de la réglementation relative à la protection des données à caractère personnel.
La formation restreinte indique donc en substance qu’avoir recours à des données à caractère personnel lors des phases de test est constitutif d’un manquement à l’obligation de sécurité évoquée plus haut. Cependant, cette position développée dans le corps de la mise en demeure n’est pas reprise dans la liste finale des mesures correctrices devant être mises en place par la société au titre de la mise en demeure. Cette absence semble donc limiter la portée de la position exprimée par la formation restreinte.
Quelles bonnes pratiques ?
La Cnil propose des pistes de réflexion dans son guide intitulé « la sécurité des données personnelles », paru en janvier 2018.
A la lumière de celles-ci, les bonnes pratiques en matière de tests de développement seraient notamment d’effectuer les tests dans un environnement distinct de l’environnement de production et, autant que possible, à l’aide de données fictives.
Le responsable du traitement peut également opter pour l’anonymisation d’un jeu de données à caractère personnel existant. Il conviendra cependant de mesurer la difficulté pratique de cette anonymisation. Le Laboratoire d’innovation numérique de la Cnil (ou LINC) a mis en lumière cette complexité dans son projet CabAnon. Ce projet avait pour but d’évaluer les performances de différentes techniques d’anonymisation, sur la base d’un jeu de données rendus publics par la ville de New-York.
Notons pour finir que réutiliser des données à caractère personnel lors de tests est susceptible de constituer un autre manquement. En effet, l’un des principes directeurs de la protection des données à caractère personnel est le principe de limitation des finalités, selon lequel les données sont « collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités […] » (RGPD, article 5 1) b) ). Réutiliser pour des tests de développement des données collectées pour une toute autre finalité pourrait contrevenir à ce principe.