Bubble et le RGPD

Dimitri
Nicolas
Stephanie
Menezes

8

minutes

Bubble

Avant de commencer à construire ta Web App sur Bubble, tu te poses plusieurs questions de ce qu’il faut faire pour respecter le RGPD ? On te donne quelques pistes de réflexion sur le sujet et des fonctionnalités à utiliser dans l’outil.

Déjà, qu’est-ce que le RGPD ?

Il s’agit du Règlement général sur la protection des données (en anglais : General Data Protection Regulation ou GDPR). Ce règlement, qui est pleinement entré en vigueur en mai 2018, encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Définissons ce qu’est une donnée personnelle, un traitement de cette donnée et qui est concerné par le RGPD. Pour ces 3 points nous allons résumer/citer ce qui est écrit de manière détaillée sur le site de la CNIL.

Qu'est-ce qu'une donnée personnelle ?

Déjà, la notion de données personnelles est à comprendre de façon très large. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Note : les données des personnes morales / des entreprises ne sont pas des données personnelles au sens RGPD !

Qu’est-ce qu’un traitement de données personnelles ?

Également ici, la notion de traitement de données personnelles est large. C’est une opération portant sur des données personnelles devant avoir un objectif et n’étant pas nécessairement informatisée.

Qui est concerné par le RGPD ?

Tout organisme, public ou privé, peu importe sa taille ou son pays d’implantation ou son activité, traitant des données pour son compte ou pour un tiers, est concerné par le RGPD dès lors :

  • Que la récolte ou le traitement est établie sur le territoire de l’Union européenne
  • OU que son activité cible directement des résidents européens

Étant donné le champ ultralarge de la définition du RGPD, il y a de très grandes chances que tu doives t’y pencher pour ton entreprise, que ce soit pour le traitement des données en interne de ta boîte que lors du développement de ton site, web app, plateforme ou outil interne.

Du coup, est-ce qu’avec Bubble, je peux être en règle avec la RGPD ? 👇

Bubble et le RGPD

Est-ce que Bubble respecte le RGPD ?

Ce n’est pas tout à fait la bonne question ici pour débuter, car respecter le RGPD va dépendre également de l’usage qui est fait de Bubble. Il peut y avoir sur Bubble des Web Apps qui ne respectent pas le RGPD simplement parce que le concepteur de l’App n’a pas respecté une directive sur la récolte et/ou le traitement d’une donnée.

Cela étant dit, l’outil Bubble doit pouvoir mettre à disposition tous les moyens permettant au concepteur d’une Web App de pouvoir respecter le RGPD.

Note : c’est d’ailleurs détaillé dans les CGUs des outils de manière générale ; ils n’engagent pas leur responsabilité sur l’usage qui est fait des données.

1er moyen : Les cookies par défaut

Le bouton “cookies par défaut”, permet de désactiver la récolte de données du nouvel utilisateur non connecté qui se balade sur la Web App construite avec Bubble. Ainsi, pas besoin de demander le consentement du visiteur si Bubble ne stocke et n’utilise aucun cookie avant connexion.

Option ne pas placer de cookies sur les nouveaux visiteurs par défaut.

Par contre, si le concepteur de la Web App Bubble a ajouté un script Google Analytics (par exemple), il se doit de demander le consentement de l’utilisateur si ce script est chargé à l’ouverture de la page.

👉 Article de la CNIL autour de l’utilisation de Google Analytics

2ème moyen : Privacy

Bubble propose aussi de configurer des règles de “qui peut voir quoi ? ” entre les utilisateurs et la base de données. Ces règles dites de “Privacy” permettent donc de contrôler quel utilisateur à accès à quelles données et dans quelles circonstances.

Les règles de “Privacy”

3ème moyen : Plugin Cookie Consent (EU)

La possibilité d’utiliser un plugin gratuit dans la marketplace Bubble, créée par Bubble : le plugin Cookie Consent (EU). L’utilisation de celui-ci permet d’afficher un message personnalisé pour annoncer aux utilisateurs les cookies présents dans ton application. 🍪

Le plugin Cookie Consent

4ème moyen : Opt-in to cookies

Bubble pourra permettre, via un “checkbox” et l’utilisation de l’action “Opt-in cookies”, de rendre l’acceptation des conditions d’utilisation et de la politique de protection des données obligatoires avant toute inscription par un utilisateur. Cependant il faut que le concepteur de la Web App développe le contenu des pages CGU et Privacy.

Option "Opt-in to cookies"

À noter qu’il existe aussi l’action “Opt-out to cookies” pour se désinscrire de l’installation de cookie par la techno Bubble.

5ème moyen : Donner la possibilité à l’utilisateur de supprimer ses données

Bubble permet de supprimer à la volée des données directement via son éditeur. Les utilisateurs de la Web App ont également la possibilité de supprimer des données les concernant, voire de supprimer leur compte utilisateur, leur donnant ainsi un contrôle total si ces logiques sont implémentées.

Il faut donc, dès la conception de l’application sur Bubble, penser à la récolte, au traitement des données et au pourquoi de ce traitement (l’objectif). Être dans l’état d’esprit “Privacy By Design” va permettre de résoudre beaucoup de problématiques RGPD plus simplement.

Autre info : par défaut, toutes les données sont stockées sous Amazon AWS US (donc pas en Europe, il faut en être conscient au départ). Si cela pose souci, il faut soit demander à Bubble un hébergement dédié en Europe (moyennant un devis personnalisé) soit externaliser la base de données pour un hébergement en Europe via un tiers (qui pourrait être Amazon AWS aussi, mais en Europe).

Quelques tips Bubble :

  • Dans Settings → General, l’option de ne pas définir des cookies pour les nouveaux visiteurs par défaut peut être utile.
  • Faire toujours attention aux règles de confidentialité dans Data → Privacy. Les utilisateurs auront l’accès à seulement aux données dont ils ont besoin.
  • Ajouter une fonctionnalité qui permet aux utilisateurs d’avoir le contrôle sur leurs données voir de supprimer leurs données : voir le workflow “Delete a thing”.
  • Faire attention aux plugins et/ou du custom code qui peuvent ajouter des cookies dont il faudrait faire mention dans les CGU/Privacy de ta Web App.

Quelques lignes directrices générales pour tendre vers la compatibilité RGPD :

  • Se poser les bonnes questions : quel type de données personnelles, sont-elles sensibles, pour quels usages ?
  • Bien lire les CGUs et la politique de confidentialité des outils que l’on sera amené à utiliser pour un choix de son outil plus serein.
  • Donner toutes les informations nécessaires aux futurs utilisateurs de ta Web App ou Plateforme.
  • L’information doit être claire, concise et transparente.
  • Si possible / nécessaire, anonymiser ou pseudonymiser certaines informations.
  • Donner la possibilité aux utilisateurs de te contacter facilement au sujet de leurs données.
  • Faire attention à la sécurité des données : s’il y a une faille, tous les efforts précédents tombent à l’eau. Ne pas oublier que dans environ 90% des cas, la faille est humaine.

IMPORTANT : Dans cet article, on te donne quelques lignes de réflexion et une intro au sujet RGPD qui est beaucoup plus complexe que ne le laisse paraître cet article. Pour maximiser tes chances d’être conforme, si le sujet est important selon ton contexte, nous te conseillons de consulter un expert du domaine !

Pour finir, quelques liens utiles pour aller plus loin :

Bubble

CNIL & RGPD