· Qualité

RGPD, sécurité et accessibilité sont sur un bateau

En tant que partenaire fondateur du projet Opquast, Clever Age était présent le jeudi 16 novembre 2017 à l’Opquast Day dans les (toujours aussi beaux) locaux de Mozilla Paris. Il s’agit du rendez-vous annuel d’Opquast qui réunit l’ensemble des partenaires : les agences, les entreprises et les écoles. C’est l’occasion d’échanger sur nos démarches respectives d’assurance qualité, de faire des remontées terrain et d’avoir des informations sur les avancées et mises à jour de l’écosystème Opquast.

Opquast Day 2017 à Mozilla Paris – Elie Sloïm

RGPD((Retrouvez notre article sur le même sujet : « Règlement général sur la protection des données personnelles : Petit guide pour les entreprises« ))

Laurent Denis nous a brillamment fait un point sur le sujet en vogue du moment : le RGPD (Règlement Général sur la Protection des Données). Il y a deux raisons principales à cette “subite” notoriété :

  • l’entrée en vigueur qui arrive à grands pas : le 25 mai 2018 ;
  • la sanction financière : 4 % du chiffre d’affaires mondial

Derrière cet effet d’annonce, ce règlement de l’Union Européenne a un noble objectif : protéger les données privées des utilisateurs.

Usage des données

Chaque service, aussi bien du secteur public que privé, qui recueille des données personnelles devra spécifier à l’utilisateur l’usage et la finalité des données collectées. Si on prend l’exemple classique d’un formulaire de contact demandant entre autre l’adresse email, il faudra indiquer l’usage de cet email. Sera-t-il utilisé uniquement pour pouvoir répondre à l’utilisateur ? Ou bien sera-t-il stocké dans l’éventualité d’une future newsletter ?

Dans la même lignée, le RGPD signe également la fin des cases à cocher type “j’autorise XXX à communiquer mes informations personnelles à un tiers”. Les tiers devront être explicitement mentionnés.

Durée de vie des données

Toute donnée inutile devra être supprimée. Si par exemple un site e-commerce stocke la date de naissance de ses utilisateurs, au cas où, mais qu’il n’en fait aucun usage, il devra supprimer cette donnée. De même, si un utilisateur demande à être désinscrit d’une newsletter, le service en question ne devra pas simplement le désinscrire, il devra également supprimer son adresse email (s’il n’y a pas d’autres usages consenti de cet email).

Sécurité des sites et applications Web

Le talentueux Nicolas Hoffmann nous a présenté le projet de checklist Opquast sur le thème de la sécurité. C’est pour le moment une ébauche, en cours d’élaboration, mais voici tout de même quelques informations.

Il existe plusieurs outils qui permettent de tester rapidement et efficacement la sécurité de vos services :

Quelques bonnes pratiques :

  • Passer à HTTPS. Il faut le faire, tout de suite, maintenant ;
  • Attention au contenu mixte (HTTP + HTTPS) qui risque de vous causer des ennuis ;
  • Mettre en place Content Security Policy (CSP) pour vous prémunir entre autres des contenus indésirables et des failles XSS (cross-site scripting) ;
  • Mettre en place une politique de referer. Si par exemple je suis sur un site A “sensible” et que je vais sur un site B, ce dernier peut savoir que je viens du site A grâce au referer mais il peut également récupérer d’autres informations qui peuvent être sensibles.

En complément de cette checklist Opquast sécurité, il est bon de se rappeler qu’un référentiel sécurité existe pour le secteur public : le référentiel Général de Sécurité (RGS).

Le Référentiel Général de Sécurité (RGS V2) définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Il propose également des bonnes pratiques en matière de sécurité des systèmes d’information que les autorités administratives sont libres d’appliquer.

Les nouvelles d’Opquast

L’internationalisation

Un gros chantier est en cours sur l’internationalisation et nous attendons le résultat avec impatience. Nous devrions bientôt avoir accès à la plateforme d’entraînement, à l’examen, ainsi qu’au guide de certification en anglais.

C’est important en interne pour nos collaborateurs à Hong Kong et Singapour mais c’est aussi une belle occasion pour Opquast de sortir du franco-français et de s’exporter tout doucement vers l’international.

Pause des outils

Suite à la nouvelle version de Firefox 57, l’extension Opquast Desktop n’est désormais plus compatible (comme beaucoup d’autres extensions). Il n’est pas envisagé à court terme de mettre à jour cette extension.

Pour ce qui est d’Opquast reporting, ce dernier va se voir retirer la couche d’automatisation. L’outil souffre d’une dette technique trop importante pour pouvoir mettre à jour les tests automatiques en conformité avec les nouvelles bonnes pratiques.

Point sur la certification

La certification Opquast a vu le jour début 2015 et elle est inscrite au registre national des certifications professionnelles. Il y a actuellement 5110 inscrits sur la plateforme d’entraînement et 2201 certifiés.

Clever Age compte à l’heure actuelle 25 certifiés et nous sommes fiers de voir trois de nos collaborateurs dans le top 10. Nous continuerons en 2018 à certifier en interne nos équipes car nous croyons fermement qu’il est essentiel d’avoir un langage et un socle de compétence commun.

Conclusion

Le titre de l’article est “RGPD, sécurité et accessibilité sont sur un bateau” ((J’aurais également pu ajouter sur le bateau : le SEO, la performance Web, l’UX, etc.)). La suite logique voudrait que l’un tombe à l’eau : mais lequel  ? le RPGD ? la sécurité ? l’accessibilité ?

Le risque lorsque l’on voit arriver un sujet fort comme le RGPD, c’est de se jeter à corps perdu dans ce “nouveau” domaine en négligeant les autres. Le Web est de plus en plus complexe et, au quotidien, il n’y a pas qu’une seule thématique à traiter. Un site Web 100 % accessible ne sera pas qualitatif pour l’utilisateur, si par exemple, il ne prend pas en compte les fondamentaux de la protection des données et de la sécurité.

Il n’y a pas de solution miracle mais une démarche d’assurance qualité permet à minima de maîtriser et de gérer les risques. On s’assure d’abord d’un socle commun dans tous ces domaines et ensuite on gère le risque au cas par cas, selon le contexte, en poussant pourquoi pas un ou plusieurs domaines comme la protection des données, l’accessibilité, le SEO, la performance etc.

Cette édition 2017 de l’Opquast Day était une réussite aussi bien du point de vue des conférences que des discussions informelles. Nous avons hâte d’être à l’édition 2018 et d’ici là nous continuerons à pousser en interne et à nos clients l’assurance qualité.

3 commentaires

  1. Amanda Martinez

    Beau billet !

    Merci Olivier pour ce retour d’XP sur le premier Opquast Day auquel je n’ai pas pu assister :)
    A quand une exportation d’un Opquast Day à Montréal afin de propager l’internationalisation de l’assurance qualité objective ? ;)

    1. C’est une excellente idée un Opquast Day à Montréal ! Avec Eric de chez Clever Age North America, vous êtes déjà deux certifiés sur le continent :-)

  2. Ok donc tout le monde met la tête dans le sable car le serpent se mord la queue ; le RGPD est volontairement trop flou, c’est comme limiter les autoroutes à 5 km/h et attendre derrière un virage avec un radar.
    En développement web c’est drôle, après la loi anti fraude TVA déjà…

Les commentaires sont désormais fermés.