Comment assurer la conformité des développements « agiles » ?

À quelle « gymnastique » vont être contraints les CIL (Correspondants Informatique et Libertés) amenés à veiller à la conformité d’un nouveau traitement de données à caractère personnel, développé selon une méthode agile ?
 
Les CIL (Correspondants Informatique et Libertés) analysent la conformité de traitements existants et formulent des recommandations afin d’assurer leur mise en conformité. Cette démarche de Privacy by re-design est couteuse, car il est plus difficile de modifier une application après coup que de la développer dès l’origine de façon pertinente. C’est pourquoi les CIL tentent d’obtenir une modification des cycles de vie des projets traditionnels afin d’y faire intégrer des points qui leur tiennent à cœur (prise en compte des exigences du Privacy et Security by design au sein des cahiers des charges et des exigences, enrichissement de la documentation d’un chapitre Informatique et Libertés, tests de sécurité en phase de validation, etc.).
 
Le recours de plus en plus fréquent aux méthodes dites « agiles » vient perturber ces efforts.
 
Les méthodes agiles prônent quatre valeurs fondamentales : l’équipe (Interactions entre individus, plutôt que les processus et les outils) ; l’application (Obtenir un fonctionnement au plus vite) ; la collaboration (La collaboration avec les clients, plus que la négociation contractuelle) et l’acceptation du changement (La souplesse plutôt que le suivi d’un plan).
 
En première analyse, la nature même de ces méthodes semble incompatible avec la prise en compte de la conformité. Sont-elles, au final, « Privacy-compatibles » ? Quelles précautions particulières les méthodes agiles nécessitent-elles en termes de conformité Informatique et Libertés (et donc de sécurité) ?
 
Les méthodes agiles sont des pratiques de projets de développement en informatique, qui prennent le contre-pied des méthodes traditionnelles, prédictives et séquentielles de type cycle en V ou en cascade. Là où ces dernières approches attendent une expression détaillée et validée du besoin en entrée de réalisation, les méthodes agiles impliquent au maximum le demandeur (client) et permettent une grande réactivité à ses demandes.
 
Lire la suite