Responsabilité du développeur dans la mise en conformité CNIL en terme de sécurité des mots de passe

[m201290]

Bonjour,

Un développeur crée un site pour un client. Ce site ne respecte pas toutes les prérogatives de la CNIL en terme de sécurisation des mots de passe (complexité du mot de passe, cryptage des mots de passe dans la base de données, pas d'envoi de mots de passe par mail...). Sa responsabilité est-elle engagée en cas de sanctions de la part de la CNIL ou autre ? Le fait d'informer l'entreprise que le site qui a été livré ne respecte pas toutes les prérogatives de la CNIL est il suffisant ? Y-a-t-il une obligation à ce niveau de la part d'un développeur si cela n'est pas stipulé dans le contrat ?

 

[ABCWEB]

Si y a rien dans le contrat qui le note t'es couvert. Normalement dans les entreprises il doit y avoir quelqu'un qui s'occupe de ça..

 

[m201290]

Merci pour votre réponse. Un développeur n'a donc pas d'obligation de livrer des sites conformes aux attentes de la CNIL en terme de sécurité ? Je me demande si pour un site déjà livré un client peut demander de rendre le site conforme à la loi (la loi de la cnil) en mettant en cause la responsabilité du développeur voire en l'accusant de ne pas avoir livré un site en règle. Je trouve étrange que les dévelopeurs n'aient pas une obligation à ce niveau. Je compte contacter la CNIL à ce sujet, je mettrais le topic à jour à ce moment.

 

[rick38]

Un développeur développe ce qu'un client lui demande de développer, point.
Un développeur n'a même pas à être au courant que la CNIL ou le RGPD existent !

Il faut arrêter de mélanger les métiers, et de vouloir que le dev (qui gagne une misère en France) soit aussi responsable des données, chef de projet, commercial, responsable rgpd, responsable data, administrateur serveur, administrateur système, assure la maintenance, les backups, etc.......... et en plus soit responsable d'un cahier des charges que le client n'a pas fait complètement !

 

[ABCWEB]

Nul n'est censé ignorer la loi mais les risques sont assez minces

 

[jp30]

Effectivement, le fait d'informer de façon officiel (avec un trace quelque part) ton client, que le projet sous cette forme risque d'être pas conforme au RGPG te protégera.