Privacy by design

Qu’est ce que le Privacy by Design ?

Notion clé du RGPD, l’ appellation Privacy by design ou RGPD by design se réfère à l’intégration du respect de la vie privée et la protection des informations en amont de la conception et mise en oeuvre d’un produit ou d’un service. L’acceptation des cookies et le lien vers les conditions d’utilisation n’étant pas considérées par la CNIL comme ni suffisants ni bienveillants. Le concept né au début du deuxième millénaire aux USA exige que tout nouveau service traitant des données personnelles doit offrir une forte protection et préserver la vie privée des utilisateurs, et ce notamment depuis l’automatisation des tâches de collecte.

Principes actifs

Ce qui va donc vraiment différencier le projet réfléchi intégrant le privacy by design d’un projet auquel on colle des notifications peut être défini comme suit :

  • les informations personnelles sont stockées en local (notamment pour les applications mobiles) et non sur un serveur
  • les contenus qui remontent sont affinitaires et qualitatifs – au sens que les préférences recueillies permettent de trier et remonter de l’API les informations pertinentes pour le mobinaute au moment de sa recherche
  • le cycle de gestion des données est en circuit fermé et n’inclut pas de SDK* tiers permettant un hameçonnage des données (* programme logiciel tiers incluant des services externes embarqués dans l’application mobile)
  • un accès permanent et visible aux données personnelles recueillies avec la possibilité à tout moment de les modifier
  • plusieurs modes de collecte avec choix en opt-in du mobinaute – réponse aux questionnaires, acceptation de la géolocalisation, enregistrement de la navigation, avis sur les services proposés
  • la suppression pure et simple des données en scratchant l’app par exemple – même si la CNIL impose aux éditeurs le maintien d’un logo anonymisé pendant 12 mois
  • la possibilité d’utiliser certains services sans s’identifier
  • l’envoi de notification à l’usager en cas de défaillance de la sécurité, dans les meilleurs délais
  • l’hébergement des contenus, flux et solutions sur des serveurs basés en Europe et ne faisant appel à aucun autre serveur déporté à l’étranger

Dans le cas précis de l’application de e-conciergerie créée par Monument Tracker, et où nous proposons un service personnalisé, voici comment nous avons mis en place notre solution .

1. Accompagnement par un DPO (Data Protection Officer assermenté par la CNIL)

Monument Tracker a été accompagné dès Octobre 2017 à l’aménagement des dispositifs relatifs au respect de la loi RGPD par un DPO certifié (Data Protection Officer) pour intégrer le Privacy by design.

  • Annonce de l’ambition de l’application
  • Affichage des conditions d’utilisation et de la politique de confidentialité. Celles-ci sont personnalisées selon chaque client pour lequel nous produisons
  • 3. Le client accepte en cochant (pas de pré-coché)S’il refuse, la navigation ne propose pas de personnalisation. En dés-installant l’app, les données du mobinaute sont supprimées, les interactions cessent de fait. Les logs sont conservés 12 mois. (obligation CNIL). La durée de rétention des données étant de 24 mois, une autorisation de conserver les informations est adressée automatiquement à la date anniversaire.

2. Opt-in & accès aux données

Dans le cadre du Privacy by design l’application propose un opt-in :

Le mobinaute livre librement ses préférences ou peut choisir de ne pas répondre en cliquant sur « Skip ». Il a le choix de renseigner son profil complet ou rester anonyme. 3 questions à choix multiples lui sont posées :

  • ces préférences sont enregistrées et déterminent la remontée des contenus pertinents depuis l’API
  • ces préférences sont consultables et modifiables à tout moment depuis plusieurs points d’accès dans l’app

A chaque étape, le chatbot explicite l’usage fait des données du mobinaute. Celui-ci peut les modifier à loisir pour obtenir des suggestions en fonction des envies du moment.

3. Gestion des données dans le Privacy by design

Lorsque le mobinaute interagit avec le chatbot, celui-ci enregistre les préférences en local sur son smartphone ou tablette. Le chatbot questionne ensuite en tâche de fonds l’API propriétaire selon les critères recueillis. Les informations remontent dans l’app et apparaissent dans les filtres appropriés.

3.1. L’API (pour Architecture Programming Interface)

  • a été conçue par l’équipe de développeurs de Monument Tracker
  • est hébergée en Europe chez OVH avec des serveurs à Strasbourg
  • bénéficie de firewalls et dispositifs de sécurication des données à jour, avec notification automatique en cas de faille de sécurité
  • collecte des contenus anonymisés auprès de systèmes d’informations tiers (SIT, bases de données) avec consentement préalable sans leur restituer d’information, l’intérêt de ces BDD étant d’augmenter leur visibilité. 
  • Les contenus sont mis à jour quotidiennement.

3.2. Le système d’information est un circuit fermé :

  • pas de sdk tiers hormis celui requis par le client (dont il assure conformité et sécurité)
  • pas d’information sortante vers des opérateurs ni prestataires tiers
  • les plans offline issus d’« Open Street map » sont adaptés au besoin du client
  • le chatbot est développé en interne par les employés de Monument Tracker

3.3. Reporting et privacy by design

L’application mobile produit au sein du CMS (content management system) un reporting anonymisé des interactions observées. Ces données macro révèlent les présences, durées, nationalités, interactions dans l’app et sur le territoire et sont définies par le client.

 

4. Affichage des contenus pertinents dans le privacy by design

Les contenus sont affichés au sein de l’app et de notifications contextualisées.

4.1. Géolocalisation

Au démarrage, le mobinaute est sollicité au travers d’une pop-up pour permettre à l’application d’accéder à sa géolocalisation et afficher les contenus du plus près au plus loin. 85% des utilisateurs acceptent cette fonction. Ils peuvent cependant à tout moment désactiver cette fonction. 3 possibilités s’offrent au mobinaute

  • refuser la géolocalisation
  • accepter la géolocalisation seulement lorsque l’app est active
  • accepter la géolocalisation continue : cette dernière permet d’afficher des messages en fonction de la géolocalisation, même si l’app est éteinte

4.2. Notifications

Au moment choisi par le client, une pop-up demande si le mobinaute accepte les notifications. Si ce dernier accepte, le client pourra 

  • envoyer depuis le CMS des messages de 144 caractères
  • activer des notifications pré-scénarisées

Ici encore les informations remontent en fonction des derniers centres d’intérêts déclarés par le mobinaute, lesquels sont modifiables à tout moment. Le privacy by design est respecté et illustré dans l’exemple ci-dessus.