Expert

Data Privacy : comment respecter cette préoccupation majeure en 4 points

Par le

Vendredi dernier, Mark Zuckerberg exposait sa vision sur l’avenir de Facebook au travers d’un écrit posté sur sa propre page. Il s’y exprimait notamment sur le virage qu’allaient opérer dans un futur proche Facebook, Whatsapp et Instagram. Suite aux différents scandales auxquels a fait face la firme de Palo Alto, il décide d’offrir à son triptyque d’applications une nouvelle ère en se concentrant sur la protection de la vie privée de ses usagers. Cette déclaration montre à quel point la « data privacy » est devenue une préoccupation majeure pour les utilisateurs, les entreprises mais aussi pour les institutions publiques avec l’adoption du RGPD en Europe et du CCPA en Amérique du Nord.

Nous évoluons dans un monde où les flux de communication et d’informations deviennent chaque jour plus intenses. Afin de suivre le rythme, les entreprises doivent s’adapter plus précisément aux besoins de leurs utilisateurs et leur offrir des services et des expériences personnalisés. Les usagers attendent des applications plus intelligentes prenant en compte leur comportement et leurs habitudes, anticipant leurs besoins et proposant des solutions pertinentes. Aujourd’hui, le défi consiste à fournir le bon service et la bonne information au bon moment tout en respectant la vie privée des usagers. Depuis la mise en place du RGPD, les entreprises sont désormais encouragées à prendre davantage de mesures afin de protéger les données personnelles de leurs utilisateurs.

Il est donc important de prendre en compte quelques bonnes pratiques pour sécuriser cette approche délicate :

Transparence – Les applications mobiles doivent être totalement transparentes sur ce qu’elles font des données collectées. Les modalités ou les conditions générales doivent être mises à jour et expliquer, de manière claire et précise, l’application des normes RGPD. Elles doivent également mentionner la façon dont elles sécurisent les données privées (cryptage, pseudonymisation, contrôle de l’accès à l’information…), préciser qu’elles ne partagent aucune information avec un tiers à des fins commerciales et enfin démontrer qu’elles ne conservent les données personnelles que le temps nécessaire à leurs actions.

Consentement clair et précis – Une demande opt-in permettant la collecte des données personnelles doit apparaître dès la première utilisation de l’application. Elle doit résumer quel type de données l’application et ses partenaires vont récolter et la façon dont ils vont les utiliser. De plus, dans le cadre où les développeurs travaillent avec des plateformes tierces (ex : SDK), il est impératif que l’opt-in soit explicite et que l’utilisateur sache que ses données peuvent être partagées avec d’autres partenaires de l’application, et lui demander donc, une seconde autorisation.

Documentation précise – Les applications doivent impérativement suivre l’opt-in et l’opt-out en apportant comme information la date de l’opt-in, la manière dont elle a été obtenue, le type de données personnelles collectées et la date de l’opt-out (le cas échéant).

Reprendre le contrôle des données – Il est important que les développeurs mettent à disposition des sites internet, reliés directement à l’application, pour que les utilisateurs finaux puissent consulter l’historique de leur data collectée. Grâce à ce service, ces derniers ont le pouvoir de contrôler leurs données personnelles.

Il existe de multiples possibilités pour les acteurs de la tech de développer au mieux la confidentialité. Mais la plupart des app ne respectent actuellement pas les exigences liées au RGPD lorsqu’il s’agit de la collecte des données personnelles, de leur stockage ou encore de leur traitement. Et cela est notamment dû à un manque de temps, de ressources ou encore de sensibilisation. Les dernières actualités concernant le non-respect de la réglementation de la part des GAFA, ou encore de plus petites sociétés approchées par la CNIL, montrent à quel point l’utilisation des données personnelles n’est pas un sujet éphémère et qu’il est nécessaire de se conformer aux exigences réglementaires dès aujourd’hui.