MacGeneration et le RGPD
Vous avez ouvert votre boîte mail ces dernières semaines ? Alors vous savez que le règlement européen 2016/679, dit « règlement général sur la protection des données » (RGPD), entre en vigueur aujourd’hui 25 mai 2018. Le RGPD établit clairement les droits et les devoirs des entreprises en matière de traitement des données personnelles. Dont MacGeneration.
Le RGPD, qui abroge la directive sur la protection des données personnelles de 1995, vise à encadrer « la protection des personnes physiques à l’égard du traitement des données à caractère personnel » et « la libre circulation de ces données ». Son objectif n’est pas d’empêcher la collecte de données personnelles, mais plutôt de poser les principes fondateurs d’une collecte raisonnée, et de formaliser le cadre du traitement de ces données.
Le règlement établit un cadre harmonisé applicable dans l’ensemble des États membres de l’Union européenne. Ses dispositions portent sur les données personnelles des résidents de l’Union, et ne concernent donc pas seulement les entreprises européennes, mais toutes les entreprises travaillant en Europe. Voilà pourquoi de nombreuses entreprises, parmi lesquelles Apple, ont passé les dernières semaines à vous envoyer des mails.
Le RGPD érige le consentement « explicite » et « positif » de l’utilisateur en principe central. Il généralise et consolide des droits épars : le droit à l’effacement, qui vous permet d’obtenir la suppression de vos données personnelles, et le droit à la portabilité des données personnelles, qui vous permet d’obtenir une copie de vos données personnelles dans un format structuré.
Attention toutefois : ces droits s’appliquent seulement aux données personnelles, et ne constituent pas un droit de vie et de mort sur l’ensemble des données en possession des entreprises. Votre nom, votre pseudonyme, votre adresse de courrier électronique ou votre adresse IP sont des données personnelles. Vos commentaires n’en sont pas1.
Le RGPD clarifie le cadre législatif entourant la collecte et le traitement des données personnelles, tout en imposant de nouveaux devoirs aux entreprises. Le transfert des données vers un prestataire et/ou hors de l’Union européenne doit s’effectuer selon des règles très précises, et le régulateur ainsi que les utilisateurs doivent être avertis « dans les meilleurs délais » d’une fuite de données.
Le règlement établit un régime de privacy by design : moins de données personnelles collectées, un plus grand contrôle de l’utilisateur sur ses propres données, et de plus grandes précautions dans le traitement de ces données. Dans les grandes entreprises et les entreprises traitant un grand volume de données, le délégué à la protection s’assure du respect de ces dispositions.
Ce que cela signifie pour MacGeneration ? Que nous avons publié notre première politique de gestion des données personnelles et de protection de la vie privée. Ce document pourrait être plus court, mais nous avons décidé d’aller au-delà des exigences du RGPD, et de vous exposer clairement nos pratiques de collecte et de traitement des données personnelles. Il ne s’agit pas seulement de vous dire ce que nous faisons, mais de vous expliquer pourquoi et comment.
Pour la première fois, nous avons revu l’ensemble de nos pratiques, et identifié toutes celles qui pouvaient poser problème. Ce travail nous a permis de prendre plusieurs décisions :
- l’ensemble de nos sites et services sont désormais servis en HTTPS ;
- nous avons supprimé les boutons de partage vers Facebook, Twitter et Google, qui ne servent pas à grand-chose mais facilitent votre pistage d’un site à l’autre ;
- nous avons procédé à l’anonymisation des adresses IP transmises à notre solution de mesure d’audience ;
- nous avons supprimé les collectes dont l’utilité nous paraissait contestable ;
- nous avons limité notre durée de conservation de certaines données, comme les adresses IP, à 12 mois ;
- nous avons publié notre politique de gestion des données personnelles et de protection de la vie privée ;
- nous avons contrôlé, pour la rédaction de cette politique, les pratiques de nos partenaires et prestataires ;
- nous avons dressé une liste, pour la rédaction de cette politique, des liens d’opt out vous permettant de mieux contrôler l’enregistrement des cookies ;
- nous avons ouvert l’accès à notre serveur Git pour vous permettre de consulter l’historique des révisions de cette politique ;
- nous avons amélioré notre procédure de réponse au droit à l’effacement ;
- nous avons mis en place des procédures de réponse au droit à la portabilité ;
- nous avons nommé un délégué à la protection des données ;
- nous avons mis en place une adresse de contact unique pour les demandes liées à la RGPD :
vieprivee@macgeneration.com.
Pour autant, nous ne nous aventurerons pas à nous proclamer « 100 % RGPD compliant », ou « champions de la protection des données personnelles ». Nous avons encore beaucoup à faire :
- nous sommes en train de revoir, avec le concours de notre avocat, nos conditions générales d’utilisation ;
- nous voulons automatiser la réponse aux demandes d’effacement et de portabilité le plus rapidement possible ;
- nous devons revoir le fonctionnement de notre bannière d’informations sur l’enregistrement des cookies pour mieux nous assurer de votre consentement explicite, mais nous attendons pour cela la mise en place de dispositifs techniques chez certains de nos partenaires ;
- nous réfléchissons à la mise en place d’une véritable politique de sécurité de notre système d’information, qui graverait nos pratiques dans la pierre.
Nous pensons toutefois pouvoir dire que nous faisons un usage raisonné et raisonnable de vos données personnelles. Nous ne collectons pas de données sensibles, nous travaillons avec une poignée de partenaires de confiance, et nous limitons nos traitements au strict nécessaire. Mais nous n’avons pas besoin de le dire : prenez le temps de lire notre politique de gestion des données personnelles, faites-vous un avis par vous-mêmes.
Cette politique est publiée sur notre nouvel « ours » en ligne, où vous pourrez aussi lire nos mentions légales et (re)découvrir notre équipe, apprendre tout ce que vous avez toujours voulu savoir sur nous sans jamais oser le demander. Notre politique de gestion des données personnelles sera revue autant de fois qu’il le faudra, et nous vous informerons régulièrement de nos progrès en matière de conformité au RGPD.
Mais ils peuvent contenir des données personnelles… dont vous pouvez demander l’effacement.↩
L'anonymisation est effectivement une technique de sécurisation de données à caractère personnel, mais attention, il faut être sûr de ne plus pouvoir identifier la personne concernée pour que cette donnée soit considérée comme anonymisée (à ne pas confondre avec la pseudonymisation qui est autre chose).
Si dans mon profil (j'ai regardé sur le mien, ce n'est pas renseigné mais la possibilité existe) j'ai mon vrai nom, cela n'est plus anonymisé. De même, si vous conservez dans vos systèmes ces informations nominatives (identifiable indirectement) rattachées à mon adresse IP, ces données ne peuvent plus être considérées comme étant anonymisées puisqu'on peut, indirectement, m'identifier.
D'un œil extérieur, il m'est difficile d'imaginer qu'il n'y a pas, dans l'ensemble de votre système d'information, aucun pont permettant de faire le lien entre mon profil et des données personnelles que j'aurais été amené à vous fournir (ne serait-ce que mon @IP ou les informations concernant mon abonnement lors que j'étais abonné), d'où mes interrogations (légitimes je pense). Cela dit, vous nous dites que c'est anonymisé donc on vous fait confiance.
En tout cas, félicitations néanmoins pour la démarche.
Régulation Européenne qui date depuis plus d’un an
C’est cette dernière semaine que tout le monde se réveille en remplissant nos boîtes mails ??
En fait, Avril 2016 pour être précis.
Merci.
Et merci l'UE.
En tout cas, c'est pour cette transparence, cette honnêteté que je apprécie votre site et ai rejoins le club. Plus d'un journal papier ou web pourrait en prendre de la graine.
Et en regardant votre équipe... ouh là ça va être la révolution chez vous le jour où vous aurez une salariée. :DDD (ah je ne suis pas le seul à l'avoir remarqué. :)
Petite question, qu'est-ce que je change le RGPD au niveau du droit à l'oublie? Sachant que nous pouvions déjà demander la suppression de nos données ou même faire un droit à l'oublie auprès de Google par exemple..
Est il possible de télécharger toutes les données sur notre compte et comment elles sont utilisées ?
@hirtrey : https://ours.macg.co/vie-privee/#portabilité-et-suppression-des-données
@Anthony
Merci pour ce lien qui fait planter votre application ?
@Anthony
J’aurais pensé un peu dans le style de Twitter où tous est consultable. La c’est un lien vers votre politique c’est tout.
Donc pour l’instant c’est le strict minimum
???
@hirtrey : non non, il y a une section complète sur la portabilité et la suppression des données. Pour le moment la procédure est manuelle, mais nous sommes en mesure (et obligés) de vous envoyer un fichier contenant toutes les données que nous possédons à votre sujet sur nos sites et/ou nos forums.
Ce qui est "risible" avec ce RGPD c'est que certaines applications nous demandent d'etre d'accord avec leurs utilisations des données ... ( par exemple l'application "Endomondo" ) Sans nous permettre d'en restreindre l'utilisation, c'est tout ou rien ... Si on refuse : l'application ne fonctionne tout bonnement pas ... :( Bref, du coup, pas vraiment le choix si on tiens à continuer l'utilisation de nos appli préférées ...
Merci pour ces infos ??
Bravo MacGé pour cet excellent travail de clarté, je pense bien que ce n’est pas facile, mais s’y attaquer avec courage et détermination est exemplaire.
Merci, merci ?
Top ! ?
C’est pas pour râler mais quand je regarde la liste de votre équipe et contributeurs, je n’ai pas l’impression de voir une seule femme. Me trompe-je ?
C'est pour râler quand même un peu non ? ☝?
On n'embauche pas toutes les semaines et les quelques fois où l'occasion de recruter s'est offerte ces 10 dernières années on n'a eu quasiment pas de profils féminins — sinon pas du tout — chez les postulants.
C'est aussi simple que ça. Parce que pour le reste, on n'aurait absolument rien contre de féminiser un peu l'équipe, c'est évident.
Bravo McG, bel exemple à suivre...
Quant à moi je n'ai jamais été inquiet de l'usage que McG pouvait faire de mes données personnelles.
Je suis très impressionné de votre initiative d’expliquer cette nouvelle règle européenne. Je continue de recevoir pleins de messages m’invitant à accepter ces conditions sans pour autant nous en expliquer les tenants et aboutissants. Merci de cette initiative qui éclaire ma lanterne.
Je suis très (très) avare en compliment, et plutôt très (très) critique (voire désagréable).
Certes, je me base sur des déclarations, mais là pour le coup, je voudrais remercier macg pour le travail fait sur la mise en conformité avec le RGPD.
Des réponses d’Anthony que j’ai pu lire on sent quand même l’appropriation du texte, l’implication d’un avocat, et un début de changement d’état d’esprit.
Même s’il y a sûrement des points perfectibles, de ce que je peux lire j’ai l’impression que la dynamique dans laquelle ils se sont inscrits (et les sanctions ?) les conduira à les mettre en œuvre, et je suis enclin à leur faire confiance sur ce point (sachant que ça sera facilement vérifiable).
Je rapproche le travail fait de la taille de la structure, et de leur revenu... et quand je vois qu’un certain nombre de sites équivalents à celui de macg s’assoient purement et simplement sur le RGPD.
Pages