Ils sont les premiers maillons de la chaîne du traitement des données personnelles. Les développeurs en ont besoin pour créer des solutions, des programmes ou des sites web performants et utiles. Or le RGPD (règlement général sur la protection des données) promeut la security et le privacy by design, c'est-à-dire de prendre en compte les questions de sécurité et de respect de la vie privée dès la conception d'un programme.

Pour aider les développeurs à épouser ces différentes notions, la CNIL a publié un kit des bonnes pratiques. Ce dernier se décline en 6 thèmes : choisir ses outils de travail, préparer son développement, gérer son code source, bibliothèques, SDK et outils tiers : comment les intégrer dans les applications, renforcer la qualité du code, documenter le code et l'architecture.

Sur chaque thème, le régulateur donne des conseils. Ainsi sur l'adoption d'une méthodologie agile comme Scrum, la commission prône l'inclusion de « User Stories » relatives à la protection des données ou aux mesures de sécurité que l'on souhaite intégrer. Sur la gestion du code source, la Cnil alerte sur les outils (Github, Gitlab, Framagit ou BitBucket) très centralisés et sur leur visibilité (public ou privé). Les sujets des permissions d'accès et des commits impliquent une authentification maîtrisée. Par ailleurs, la Cnil insiste sur la qualité et l'auditabilité du code à travers de la documentation à jour et des tests réguliers.