No-code et RGPD : saurez-vous développer votre activité légalement ?

6/5/2022
Edouard Schlumberger
Guides

Les outils no-code, vous en avez déjà entendu parler, n'est-ce pas ?

  • Airtable (bases de données collaboratives),
  • Webflow (création de sites web),
  • Stripe (plateforme de paiements),
  • Bubble (programmation),
  • Zapier (automatisation de processus) ...

Même si cette tendance n'est pas nouvelle, leurs usages explosent.

“D'ici quatre ans, 65% des applications créées le seront en no-code ou en low-code.” (Source : Gartner / Le Journal du Net)

Ce mouvement, composé d’outils et de bonnes pratiques, facilite la création d’outils digitaux : sites web, applications et automatisations.

Aujourd’hui, en quelques heures, vous créez votre startup. Vous testez la demande de votre marché. Les frais sont contenus. Vous ne saisissez aucune ligne de code.

Par exemple : vous pouvez créer une landing page pour présenter vos produits ou vos services, automatiser les envois d'e-mails et la gestion des paiements sans maîtriser le développement informatique.

Le rêve de tout entrepreneur ! Bye bye développeurs coûteux et prestations

onéreuses ! Bye bye les erreurs humaines !

Vous gagnez en efficacité et en productivité.

Nous savons ce que vous vous dites : “ C’est un peu trop beau pour être vrai…”

Et pourtant, les exemples d’entreprises qui ont connu une “Success No-Code Story” ne manquent pas.

C’est le cas de la plateforme française de freelances Comète. Créée en 2017, elle avait réussi (en seulement quelques mois !) à lever 11 millions d'euros d'investissement. (Source : Business - Les Échos.)

Avec les outils no-code, tout semble possible. Les barrières techniques tombent enfin. Vos yeux brillent. Vous imaginez déferler de nouvelles opportunités business à vos pieds.

Mais… Leur utilisation n'est pas sans risque. Notamment vis-à-vis du RGPD.

Leto vous explique tout ici.

No-code et RGPD : une pratique avec des limites

  • Plateformes intuitives (avec des interfaces simples glisser-déposer) ;
  • tâches répétitives automatisées ;
  • coûts maîtrisés (frais de développement, gain de productivité…) ;
  • implémentation rapide...

Le no-code séduit par son efficacité.

Malheureusement, deux ombres planent au-dessus de ces outils (presque) parfaits :

  • les possibilités de personnalisation ;
  • la sécurisation des données.

Les logiciels no-code : une personnalisation limitée

Généralement, leur fonctionnement simple s’appuie sur des templates, des modèles préconçus.

Certaines de vos idées resteront donc à l'état de brouillon. Les logiciels no-code ne permettront pas leur faisabilité.

Les outils no-code : une sécurisation des données incertaine

L'économie s’est mondialisée. Les échanges s'accélèrent. Les données personnelles (le rouage essentiel) circulent perpétuellement.

Elles passent d'entreprises à sous-traitants et, parfois, changent de continents.

Leur sécurisation est donc devenue un enjeu majeur pour toute organisation. Risques de sanctions avec les lois de protections de données et perte de confiance des clients ne sont pas des points à prendre à la légère.

Ces plateformes ne se sont intéressées que très tardivement à ces problématiques de sécurité. Il existe donc un retard certain.

Et surtout…

Les logiciels les plus populaires sont états-uniens. L’invalidation du Privacy Shield vous oblige à redoubler de vigilance.

L'invalidation du Privacy Shield : les États-Unis, un état tiers

Vous êtes un entrepreneur ? Vous demandez à vos clients des données personnelles ? Vous êtes le responsable légal de ces informations avec le RGPD.

Vous devez :

  • veiller à leur protection ;
  • assurer que les personnes concernées (les ressortissants européens) puissent exercer pleinement leurs droits (et ce partout dans le monde).

Ces plateformes no-code sont, aux yeux du RGPD, des sous-traitants. Basées aux États-Unis, leur utilisation implique donc un transfert de données hors de l'UE.

Problème : la Cour de justice de l'Union européenne a invalidé le Privacy Shield (un texte de loi qui encadrait le transfert de données Outre-Atlantique) en juillet 2020. (Arrêt Schrems II).

Un transfert de données vers les États-Unis ne profite plus d'un niveau de protection adéquat (perte de la décision d'adéquation).

Pourquoi ?

Des lois de sécurité territoriales (comme la loi FISA - Foreign Intelligence Surveillance Act) permettent aux autorités américaines d'accéder aux données personnelles détenues par les hébergeurs cloud nationaux (indépendamment du lieu d'implantation des serveurs).

Et ce n'est pas tout...

Elles peuvent agir dans le plus grand des secrets (manque de transparence).

En outre, la réglementation américaine ne prévoit aucune limite claire d'interventions (manque de proportionnalité).

Impossible pour les ressortissants européens d'exercer pleinement leurs droits (d'accès, d'opposition...) auprès d'une juridiction indépendante.

Formellement, leur vie privée est menacée. Cette législation américaine est contraire à la réglementation européenne.

En pratique, les données transférées relèvent de la réglementation états-unienne en matière de surveillance. Tout transfert (et donc utilisation de plateformes no-code) doit être strictement encadré.

L’utilisation d’outils no-code états-uniens : les conditions à respecter

Le RGPD vous considère comme un exportateur de données.

Vous êtes le garant de la protection des données personnelles en :

  • encadrant strictement leurs transferts (avec des outils juridiques comme les clauses contractuelles types) ;

Notre conseil : vérifiez que la réglementation américaine n'altère pas l'effectivité de l'outil sélectionné.

  • définissant un plan d'actions avec des mesures de sécurité supplémentaires ;

Notre conseil : n'hésitez pas à contacter votre sous-traitant pour connaître ses garanties relatives à la protection des données.

Par exemple : Bubble propose l’hébergement des données en France (avec un surcoût).

  • procédant à des contrôles réguliers.

Quelles mesures supplémentaires adopter ?

Votre priorité : assurer un niveau de protection équivalent aux standards européens.

3 types de mesures :

  • techniques (pseudonymisation, chiffrement...) ;
  • organisationnelles (contrôle du lieu de stockage des données, minimisation des données...) ;
  • juridiques (engagement contractuel de mise en place de mesures techniques, code de conduites, mécanisme de certification, obligation de transparence...).

Votre priorité : le registre des traitements de données personnelles

Vos transferts sont maintenant encadrés. Bravo ! Mentionnez ces transferts dans votre registre des traitements de données personnelles. Sa mise à jour régulière est obligatoire.

Vous en savez désormais un peu plus sur le "no-code", les opportunités de cette pratique et le cadre légal à respecter.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre