En tant que freelance, je ne décide pas seul du régime de conformité, mais je m'assure que chaque fonction respecte la privacy dès la conception.
Les règles que je mets en place
- Data classification : on identifie ce qui est personnel, sensible ou public. Chaque champ a un statut.
- Minimisation automatique : le système ne stocke que ce dont il a besoin et purge sur une politique claire.
- Traceabilité totale : chaque accès à un dossier critique est journalisé, ainsi que la raison de l'accès.
On écrit des policies simples pour les équipes (ex: "tout partage de données clients doit être approuvé par le responsable"), on automatise les exports et on fait des tests de conformité dans la CI.
Un mindset constant
La conformité n'est pas un sprint, c'est un état d'esprit. Les notifications de consentement doivent être fiables, les mécanismes de suppression efficaces, et les processus de revue visibles. Un incident devient un enseignement pour ajuster la politique et réécrire un runbook, pas un drame.