Vous avez probablement reçu des dizaines d'email d'entreprises vous demandant de vous ré-inscrire à leur mailing list, ou vous invitant à découvrir (et le plus souvent accepter) leur politique de confidentialité. Pourquoi ? Car la nouvelle réglementation RGPD, entre en vigueur le 25 mai 2018. Elle s'applique à toutes les entreprises qui ont des relations avec des citoyens Européens.
Le RGPD, dont l'acronyme signifie Règlement Général sur la Protection des Données, a pour objectif de renforcer la protection des données et de la vie privée des citoyens européens. C'est donc une très bonne nouvelle !
Chez Kumbu, nous sommes tous enthousiastes à propos de le RGPD. Déjà parce que notre équipe est composée de citoyen européen. Mais surtout parce que nous accordons la plus haute importance au respect de la vie privée. Nous détestons profondément lorsque nos données sont partagées ou utilisées sans notre consentement. Enfin, chez Kumbu, nous développons un service qui respecte la vie privée des utilisateurs (Private By Design) et ce depuis le début. C'est même un élément fondateur de Kumbu et toutes les réglementations qui vont dans ce sens sont pour nous une opportunité.
Que change le RGPD pour Kumbu?
Pas grand chose ! Nous avions anticipé la plupart de la réglementation. Nous avons mis à jour notre Politique de confidentialité pour adopter le vocabulaire de le RGPD - mais dans le fond cela ne change rien à ce que nous faisions déjà avant. Notons que ces règles que nous suivons, nous les appliquons déjà à tous nos utilisateurs, et même en dehors de l'Union Européenne.
Cela dit, l'entrée en vigueur est une bonne opportunité de mettre en lumière nos pratiques et toute l'attention que nous apportons au respect de vos données.
Nous allons essayer de rester aussi loin que possible du jargon juridique assez complexe pour expliquer ce que nous faisons de vos données chez Kumbu. Et si vous avez des questions, n'hésitez pas à nous contacter par email ou directement via Twitter - je ferai de mon mieux pour répondre à vos questions et mettre à jour cet article si besoin.
Le premier point important de le RGPD, c'est le consentement
Chez Kumbu, cela se traduit par le fait que nous ne ferons jamais rien de vos données sans vous demander votre permission au préalable. Nous ne faisons pas d'aggregation de données, ni de revente de vos données ; ce n'est pas un business qui nous intéresse. Nous voulons créer avec nos utilisateurs, avec vous, une relation de confiance et de transparence :
Les données que nous collectons servent uniquement à vous offrir le service tel que vous le voyez dans Kumbu, à savoir un espace sécurisé où conserver, organiser et profiter de vos souvenirs numériques.
Vos données et Kumbu
A ce stade, il est important de clarifier de quelles "données" nous parlons. Chez Kumbu, il y a quatre types de données : votre adresse email, vos souvenirs numériques, votre activité et les données que cela génère et enfin, les données que vous nous envoyez via le Support.
- Votre adresse mail :
Le RGPD s'y réfère comme PII (Données Personnelles Identifiables), car elles permettent de vous identifier personnellement. Nous ne conservons votre adresse email que si vous avez un compte Kumbu. Votre email sert par ailleurs à vous connecter, recevoir des emails en cas de mot de passe oublié, ou pour recevoir notre newsletter si vous le souhaitez (2 newsletter par mois en fonction de l'actualité de notre service). Si vous fermez votre compte, alors nous supprimons votre adresse email et nous l'enlevons de notre système. Le cas échéant, nous la conservons tant que vous avez un compte Kumbu. - Vos souvenirs :
Il s'agit du contenu que vous mettez dans votre boite à souvenirs Kumbu. Nous conservons vos souvenirs tant que vous avez un compte Kumbu. Nous n'y avons pas accès (ils sont cryptés), nous ne faisons pas de traitement au delà de ce qui est nécessaire pour le bon fonctionnement de Kumbu (par exemple, nous les éditons ou redimensionnons pour générer une image de couverture ou une vignette). Si vous fermez votre compte Kumbu, nous supprimons l'ensemble de vos souvenirs de nos systèmes. Le cas échéant, nous les conservons tant que vous avez un compte Kumbu.
- Votre activité :
Il s'agit des données que nous utilisons pour améliorer notre service - par exemple, pour déterminer le nombre de personnes qui utilisent une fonctionnalité (comme les collections collaboratives, les images de couverture ou notre application mobile). Nous collectons aussi les données en cas d'incidence, afin de corriger les éventuels bugs. Nous utilisons ces données de manière globale et non individuelle, dans le but d'améliorer Kumbu et nous ne partageons ces données avec personne en dehors de Kumbu. A ce jour, nous conservons ces données indéfiniment pour analyser les tendances et modèles d'utilisation. Nous pouvons être amené à les supprimer à l'avenir, au bout d'un an - mais vu que nous en sommes encore au début de la création du service, nous les conservons. Enfin nous précisons que nous ne collectons ni n'analysons votre activité en dehors de Kumbu.
- Support :
Il s'agit de toutes les données que vous nous transmettez en utilisant le support utilisateur - soit par email, soit en utilisant le chat intégré. Toutes ces interactions sont stockées dans un service tiers qui s'appelle Intercom. Intercom est une plateforme très utile et leur Politique de Confidentialité est conforme à nos exigences. Ils s'engagent par exemple à ne pas revendre et à ne pas utiliser ni aggréger les données Kumbu que nous leur confions. Nous conservons des données dans Intercom tant que vous avez un compte Kumbu. Si vous fermez votre compte Kumbu, nous retirons toutes les données d'Intercom 1 an plus tard. Cela nous permet par exemple d'analyser les raisons pour lesquelles des utilisateurs ferment leur compte et ainsi améliorer le service.
À propos de la sécurité de vos données
En bon gardien de vos données, nous devons également nous assurer que vos données sont sécurisées. Aujourd'hui, toutes les communications vers Kumbu depuis votre navigateur, extension ou application mobiles sont cryptées. Et votre contenu stocké est lui aussi crypté. Les accès au serveur de Kumbu sont fortement surveillés et nous nous engageons à vous informer si nous détectons des accès non authorisés.
Le RGPD et vos droits
Un autre aspect important de le RGPD est les droits que la directive vous assure. Chez Kumbu, vous pouvez faire valoir vos droits par email à tout moment, et nous demander :
- Si nous partageons vos données et avec qui (droit d'accès)
- De supprimer vos données (droit à l'oubli) - cela signifie la cloture de votre compte
- Une copie de vos données (portabilité des données)
- Quelles sont nos méthodes et pratiques en matière de respect de la vie privée.
Le RGPD impose également aux entreprises d'évaluer toutes les implications en matière de respect de la vie privée de chacune des fonctionnalités offertes. Nous partageons cette valeur et nous évaluons systématiquement chacune de nos nouvelles fonctionnalités au travers d'une analyse des risques.
Lorsque nous devons partager des données avec des tiers, nous les filtrons et les anonymisons dans la mesure du possible. Et nous choisissons nos fournisseurs avec la plus grande des précautions - nous en avons parlé par le passé dans cet article (en anglais).
J'espère que cet article vous aidera à comprendre notre position en matière de respect de la vie privée et notre alignement total avec le RGPD.
Si vous avez des questions, n'hésitez pas à nous contacter : nous sommes toujours disponible pour parler de ces sujets, mais aussi pour aller encore plus loin dans le respect de la vie privée de nos utilisateurs. Car c'est dans notre ADN.
