Bruno Rasle
Délégué général de l’AFCDP
À quelle « gymnastique » vont être contraints les CIL (Correspondants Informatique et Libertés) amenés à veiller à la conformité d’un nouveau traitement de données à caractère personnel, développé selon une méthode agile ?
Les CIL (Correspondants Informatique et Libertés) analysent la conformité de traitements existants et formulent des recommandations afin d’assurer leur mise en conformité. Cette démarche de Privacy by re-design est couteuse, car il est plus difficile de modifier une application après coup que de la développer dès l’origine de façon pertinente. C’est pourquoi les CIL tentent d’obtenir une modification des cycles de vie des projets traditionnels afin d’y faire intégrer des points qui leur tiennent à cœur (prise en compte des exigences du Privacy et Security by design au sein des cahiers des charges et des exigences, enrichissement de la documentation d’un chapitre Informatique et Libertés, tests de sécurité en phase de validation, etc.).
Le recours de plus en plus fréquent aux méthodes dites « agiles » vient perturber ces efforts.
Les méthodes agiles prônent quatre valeurs fondamentales : l’équipe (Interactions entre individus, plutôt que les processus et les outils) ; l’application (Obtenir un fonctionnement au plus vite) ; la collaboration (La collaboration avec les clients, plus que la négociation contractuelle) et l’acceptation du changement (La souplesse plutôt que le suivi d’un plan).
En première analyse, la nature même de ces méthodes semble incompatible avec la prise en compte de la conformité. Sont-elles, au final, « Privacy-compatibles » ? Quelles précautions particulières les méthodes agiles nécessitent-elles en termes de conformité Informatique et Libertés (et donc de sécurité) ?
Les méthodes agiles sont des pratiques de projets de développement en informatique, qui prennent le contre-pied des méthodes traditionnelles, prédictives et séquentielles de type cycle en V ou en cascade. Là où ces dernières approches attendent une expression détaillée et validée du besoin en entrée de réalisation, les méthodes agiles impliquent au maximum le demandeur (client) et permettent une grande réactivité à ses demandes.
Elles reposent sur un cycle de développement adaptatif et itératif. L’approche est empirique : on se fixe un premier objectif à court terme et on se lance sans tarder. Une fois ce premier objectif atteint, on marque une courte pause et on adapte sa démarche jusqu’à atteindre la destination finale par des itérations successives (ou sprint). L’acceptation du mode adaptatif, qui permet au client de modifier ses exigences en cours de projet, a pour conséquence l’éventualité (forte) d’une variabilité du périmètre.
Le CIL ne doit pas considérer les méthodes agiles comme une simple variante des méthodes traditionnelles, mais comme un monde totalement différent. En conséquence, il est indispensable que les CIL se forme a minima sur les méthodes agiles (quelles sont-elles, quelles sont leurs points communs et leurs caractéristiques, dans quelles situations sont-elles pertinentes, etc.) afin d’adapter son approche. De même, le CIL doit bien comprendre que les centres et circuits de décision n’ont rien à voir avec les méthodes traditionnelles, avec la disparition des comités de pilotage, des arbitrages, des jeux d’influences. Ainsi, l’équipe « commando » constituée pour mener le projet est habilitée à prendre toute décision, sur l’heure, sur le coin d’une table, sans aucun formalisme.
Avec l’approche agile, la communication entre les acteurs est une notion fondamentale qui privilégie le face à face. Il est donc utile que le CIL acquière les « codes » des méthodes agiles, pour pouvoir intégrer « l’équipe » : le Correspondant Informatique et Libertés doit être considéré d’emblée comme un partenaire naturel par l’ensemble des acteurs.
Allons-nous observer, dans la population des CIL, les mêmes clivages générationnels que l’on observe actuellement dans le monde des informaticiens, une certaine opposition se faisant jour entre les « DSI à l’ancienne », qui ne jurent que par la méthode en V, et la jeune génération, qui se fait fort de délivrer une application en quelques mois, voire quelques semaines ?
Le CIL doit aussi renforcer ses efforts de sensibilisation en amont des acteurs concernés, qui doivent tous avoir les mêmes réflexes. Il n’aura pas le temps, durant la phase de développement, de vulgariser les règles d’or de la loi Informatique et Libertés. Dans l’idéal, il convient donc de s’assurer en amont que les acteurs pressentis sont « Privacy-compatibles » (qu’ils ont intégré les principes du Privacy by Design).
Le CIL doit aussi veiller à mettre à disposition de l’équipe un ensemble d’outils (lignes directrices, exigences, guides) pour faciliter la prise en compte des points de conformité : précautions à prendre en présence de zones de libre commentaire ou de cookies, besoins de traçabilité, règles concernant le stockage des données et leurs purges, règles concernant les dispositifs d’identification/d’authentification, etc.
Naturellement, le Privacy by Design englobant le Security by Design, la méthode agile présuppose que les développements se fassent de façon naturelle de façon sécurisée.
Enfin le Correspondant Informatique et Libertés doit gérer la composante temporelle d’une façon radicalement différente. Est-il prêt à participer à la « mêlée quotidienne » ? Peut-être faudra-t-il dédier des professionnels en charge de veiller à la conformité Informatique et Libertés à ces situations ?
L’un des cas les plus problématiques est celui dans lequel le projet nécessite de déposer auprès de la CNIL une demande d’autorisation (interconnexion de fichiers, traitement de données dites « sensibles », suppression d’un droit, flux transfrontières, etc.). À proprement parler, avec les méthodes agiles, il est quasiment impossible de « figer » en amont la description du traitement (quelles données, quelles interactions, etc.). Comment, dans ces conditions, être en mesure de déposer et défendre un dossier auprès de la Commission ?
Le CIL veillera donc, dans la mesure du possible, à faire en sorte que les méthodes agiles ne soient pas utilisées dans ces cas (de plus, les cas de demandes d’autorisation ou d’avis nécessitent des travaux plus importants, comme la réalisation d’une étude risques et d’impacts, et des moyens de sécurisation d’un niveau plus élevé). Si l’approche agile est malgré tout utilisée, le CIL fera tout son possible pour émettre des propositions visant à « sortir » de la situation nécessitant une demande d’autorisation (par exemple en évitant le recours au NIR ou à une interconnexion de fichiers), et/ou pour éviter de trop grandes variations sur les éléments clés du dossier qui sera soumis à la CNIL (finalité poursuivie, personnes concernées, catégories de données traitées, durée de conservation, etc.).