Vous avez ouvert votre boîte mail ces dernières semaines ? Alors vous savez que le règlement européen 2016/679, dit « règlement général sur la protection des données » (RGPD), entre en vigueur aujourd’hui 25 mai 2018. Le RGPD établit clairement les droits et les devoirs des entreprises en matière de traitement des données personnelles. Dont MacGeneration.
Le RGPD, qui abroge la directive sur la protection des données personnelles de 1995, vise à encadrer « la protection des personnes physiques à l’égard du traitement des données à caractère personnel » et « la libre circulation de ces données ». Son objectif n’est pas d’empêcher la collecte de données personnelles, mais plutôt de poser les principes fondateurs d’une collecte raisonnée, et de formaliser le cadre du traitement de ces données.
Le règlement établit un cadre harmonisé applicable dans l’ensemble des États membres de l’Union européenne. Ses dispositions portent sur les données personnelles des résidents de l’Union, et ne concernent donc pas seulement les entreprises européennes, mais toutes les entreprises travaillant en Europe. Voilà pourquoi de nombreuses entreprises, parmi lesquelles Apple, ont passé les dernières semaines à vous envoyer des mails.
Le RGPD érige le consentement « explicite » et « positif » de l’utilisateur en principe central. Il généralise et consolide des droits épars : le droit à l’effacement, qui vous permet d’obtenir la suppression de vos données personnelles, et le droit à la portabilité des données personnelles, qui vous permet d’obtenir une copie de vos données personnelles dans un format structuré.
Attention toutefois : ces droits s’appliquent seulement aux données personnelles, et ne constituent pas un droit de vie et de mort sur l’ensemble des données en possession des entreprises. Votre nom, votre pseudonyme, votre adresse de courrier électronique ou votre adresse IP sont des données personnelles. Vos commentaires n’en sont pas1.
Le RGPD clarifie le cadre législatif entourant la collecte et le traitement des données personnelles, tout en imposant de nouveaux devoirs aux entreprises. Le transfert des données vers un prestataire et/ou hors de l’Union européenne doit s’effectuer selon des règles très précises, et le régulateur ainsi que les utilisateurs doivent être avertis « dans les meilleurs délais » d’une fuite de données.
Le règlement établit un régime de privacy by design : moins de données personnelles collectées, un plus grand contrôle de l’utilisateur sur ses propres données, et de plus grandes précautions dans le traitement de ces données. Dans les grandes entreprises et les entreprises traitant un grand volume de données, le délégué à la protection s’assure du respect de ces dispositions.
Ce que cela signifie pour MacGeneration ? Que nous avons publié notre première politique de gestion des données personnelles et de protection de la vie privée. Ce document pourrait être plus court, mais nous avons décidé d’aller au-delà des exigences du RGPD, et de vous exposer clairement nos pratiques de collecte et de traitement des données personnelles. Il ne s’agit pas seulement de vous dire ce que nous faisons, mais de vous expliquer pourquoi et comment.
Pour la première fois, nous avons revu l’ensemble de nos pratiques, et identifié toutes celles qui pouvaient poser problème. Ce travail nous a permis de prendre plusieurs décisions :
- l’ensemble de nos sites et services sont désormais servis en HTTPS ;
- nous avons supprimé les boutons de partage vers Facebook, Twitter et Google, qui ne servent pas à grand-chose mais facilitent votre pistage d’un site à l’autre ;
- nous avons procédé à l’anonymisation des adresses IP transmises à notre solution de mesure d’audience ;
- nous avons supprimé les collectes dont l’utilité nous paraissait contestable ;
- nous avons limité notre durée de conservation de certaines données, comme les adresses IP, à 12 mois ;
- nous avons publié notre politique de gestion des données personnelles et de protection de la vie privée ;
- nous avons contrôlé, pour la rédaction de cette politique, les pratiques de nos partenaires et prestataires ;
- nous avons dressé une liste, pour la rédaction de cette politique, des liens d’opt out vous permettant de mieux contrôler l’enregistrement des cookies ;
- nous avons ouvert l’accès à notre serveur Git pour vous permettre de consulter l’historique des révisions de cette politique ;
- nous avons amélioré notre procédure de réponse au droit à l’effacement ;
- nous avons mis en place des procédures de réponse au droit à la portabilité ;
- nous avons nommé un délégué à la protection des données ;
- nous avons mis en place une adresse de contact unique pour les demandes liées à la RGPD :
[email protected]
.
Pour autant, nous ne nous aventurerons pas à nous proclamer « 100 % RGPD compliant », ou « champions de la protection des données personnelles ». Nous avons encore beaucoup à faire :
- nous sommes en train de revoir, avec le concours de notre avocat, nos conditions générales d’utilisation ;
- nous voulons automatiser la réponse aux demandes d’effacement et de portabilité le plus rapidement possible ;
- nous devons revoir le fonctionnement de notre bannière d’informations sur l’enregistrement des cookies pour mieux nous assurer de votre consentement explicite, mais nous attendons pour cela la mise en place de dispositifs techniques chez certains de nos partenaires ;
- nous réfléchissons à la mise en place d’une véritable politique de sécurité de notre système d’information, qui graverait nos pratiques dans la pierre.
Nous pensons toutefois pouvoir dire que nous faisons un usage raisonné et raisonnable de vos données personnelles. Nous ne collectons pas de données sensibles, nous travaillons avec une poignée de partenaires de confiance, et nous limitons nos traitements au strict nécessaire. Mais nous n’avons pas besoin de le dire : prenez le temps de lire notre politique de gestion des données personnelles, faites-vous un avis par vous-mêmes.
Cette politique est publiée sur notre nouvel « ours » en ligne, où vous pourrez aussi lire nos mentions légales et (re)découvrir notre équipe, apprendre tout ce que vous avez toujours voulu savoir sur nous sans jamais oser le demander. Notre politique de gestion des données personnelles sera revue autant de fois qu’il le faudra, et nous vous informerons régulièrement de nos progrès en matière de conformité au RGPD.
Mais ils peuvent contenir des données personnelles… dont vous pouvez demander l’effacement.↩