Le test logiciel est une protection contre les bugs, mais aussi contre les litiges. Vous avez un doute ? Cet article est fait pour vous.
La loi relative à l’informatique, aux fichiers et aux libertés, indique :
Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Sous peine de sanctions, ce type de données doit faire l’objet d’un traitement particulier. Toute personne travaillant dans la qualité logicielle devrait valider que les données personnelles sont manipulées de manière légale.
1) Il est obligatoire d’assurer la sécurité des données personnelles
Comme le dit l’article 34 de la loi,
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
La loi est sans équivoque : la sécurité des données personnelles relève de la responsabilité de celui qui les traite. En cas d’attaque informatique, l’entreprise victime de l’attaque peut être poursuivie en justice par ses internautes. Double effet kiss cool.
Les QA, connaissant cette problématique, doivent veiller à ce qu’elle soit soulevée au plus tôt, et si possible renforcer la sécurité des informations en pratiquant des tests de sécurité.
2) Le traitement des données doit être transparent
Les utilisateurs doivent être informés de leurs droits. Pouvoir consulter les mentions légales (dont le contenu est également réglementé) est obligatoire.
3) La localisation des données est réglementée
Transférer des données personnelles en-dehors de l’UE a des implications juridiques. Il est important de savoir vers quels pays les données personnelles peuvent être transférées. A titre d’exemple, en mars 2017, il est possible de transférer des données personnelles en Argentine, mais pas en Australie.
4) Envoyer un mail peut être un délit
Envoyer un mail ne coûte rien… mais ce n’est pas toujours autorisé. Il est interdit d’envoyer des mails commerciaux à des adresses trouvées dans des espaces considérés comme publics : pages web sans authentification, forums de discussion, annuaires.
Le cas échéant, si un internaute donne volontairement son adresse e-mail, il faut impérativement lui dire qu’il est susceptible de recevoir des offres commerciales.
Tout courrier commercial doit proposer un lien de désinscription.
Dans les formulaires, les cases à cocher proposant l’envoi de mails publicitaires doivent être décochées par défaut.
Plus d’informations ici.
5) Ne pas crypter les mots de passe peut coûter cher
Il est interdit de conserver en base de données des mots de passe non cryptés, comme Optical Center qui, en 2014, en a fait les frais. 50 000 euros d’amende ont dû être déboursés. Un coût financier mais aussi réputationnel… A cet effet, la CNIL donne des éléments pour mettre les mots de passe en sécurité.
6) Stocker certaines données est interdit
Une donnée sensible, au sens CNIL, concerne un ou plusieurs des aspects suivants de l’internaute :
- ses origines raciales ou ethniques,
- ses opinions politiques, philosophiques ou religieuses,
- ses appartenances syndicales,
- sa santé ou son orientation sexuelle,
- ses données génétiques ou biométriques,
- son passé judiciaire,
- son numéro de sécurité sociale.
Attention, certaines données sont sensibles sans en avoir l’air. Vous demandez à vos utilisateurs s’ils sont végétariens, végans, au régime sans gluten, sans oeufs, sans porc, sans lactose ? Sans le savoir, vous êtes sur le point de stocker une donnée sensible dans votre base de données. Demandez-vous si le risque en vaut la peine.
Le traitement des données sensibles est en principe interdit. Si ces informations sont vraiment nécessaires, leur recueil doit être justifié et nécessite le consentement exprès de la personne. Par prudence, il est conseillé de demander un avis sur les données sensibles à la CNIL, voire une demande d’autorisation (obligatoire par exemple pour le numéro de sécurité sociale). Attention, la réponse peut prendre quelques mois avant d’arriver.
Toutes les données sensibles sont concernées : celles déclarées par les utilisateurs sur le site, celles recueillies « IRL » et informatisées ensuite, et même si ces informations sont prévues pour être utilisées strictement en interne. La CNIL donne une définition précise de la donnée sensible.
7) Il est interdit de placer un cookie sans autorisation
Il est obligatoire de :
- communiquer aux internautes la finalité des cookies
- demander leur consentement (dont la durée maximale de validité est de 13 mois)
- leur fournir un moyen de refuser les cookies.
Et tout cela, avant de générer le cookie.
En savoir plus sur les cookies
Respecter la propriété intellectuelle
8) Les contenus textuels et multimédias doivent être contrôlés
Des questions de bon sens sont de rigueur :
- Les contenus affichés par le système à tester appartiennent-ils à sa société éditrice ? Si non, les autorisations idoines ont-elle été produites ?
- Les crédits sont-ils correctement mentionnés ?
- Le droit de courte citation est-il correctement appliqué ? Le contenu est-il exempt de plagiat ?
- Les personnes dont les photos apparaissent ont-elle donné une autorisation explicite ?
Quelques vérifications bien utiles, qui prendront peu de temps à l’équipe de test et pourront éviter litiges et bad buzz.
9) Les briques open-source peuvent imposer des contraintes qu’il faut respecter
Si le produit comprend des briques issues de programmes open-source, il est essentiel de respecter la licence qui leur est associée. Attention, certains logiciels open-source obligent à partager leurs versions modifiées (par exemple avec la licence GNU GPL).
Conclusion
Certes, les QA ne sont pas des juristes. Dans une vision 360° de la qualité, nous devons pourtant être capables de porter un regard critique sur les aspects juridiques du système à tester. Les champs d’étude sont extrêmement vastes : il faudrait encore parler du droit à l’oubli, des lois propres aux sites de e-commerce… Nous ne saurions assez vous conseiller d’investiguer afin de comprendre jusqu’où les tests peuvent aller.
Bonus
- Une liste de sanctions prononcées par la CNIL. Vous reconnaîtrez des noms d’entreprises françaises célèbres.
- Un célèbre litige dû à une pointeuse non déclarée à la CNIL.