RGPD : l'opérateur de l'application de messagerie Monal se retire de l'UE
RGPD : l'opérateur de l'application de messagerie Monal se retire de l'UE
estimant ne pas avoir les ressources pour se conformer au règlement
Le règlement général de l'Union européenne sur la protection des données (RGPD) vise à donner aux Européens plus de contrôle sur leurs informations et la manière dont les entreprises les utilisent, tout en prévoyant des pénalités en cas de manquement des entreprises. Il oblige donc les groupes d'Internet, entre autres entreprises qui recueillent une grande quantité de données sur leurs clients, à aménager leurs conditions d'utilisation pour les Européens.
Nous sommes aujourd'hui à une semaine de son entrée en vigueur, prévue pour le 25 mai. Toutefois, il y a encore de nombreuses incertitudes dans l'esprit de bon nombre d'entreprises et développeurs, en dehors de l'UE notamment et opérant en ligne. Toutes les entreprises sont-elles concernées ? Ou ce règlement ne s'applique-t-il qu'aux grands groupes de l'Internet ? Que faut-il faire pour se mettre en conformer au RGPD ? Comment savoir si l'on est conforme ou pas ? Et quels sont les coûts à supporter pour se conformer au RGPD ? Voici entre autres des questions qu'on peut se poser.
Mais de l'avis de certaines personnes, on ne pourra jamais comprendre pleinement le règlement européen jusqu'à ce qu'il soit interprété devant les tribunaux, quand vont commencer les premiers procès pour violations des dispositions du RGPD. Pour cette raison, entre autres, des entreprises opérant en ligne ont carrément décidé de cesser leurs activités dans l'Union européenne. C'est le cas par exemple d'Unroll.me, un service en ligne de gestion de courriels, et bien de sites Web. Parmi les services qui ont pris cette décision de ne pas se conformer au RGPD vient s'ajouter Monal. Il s'agit d'un client de messagerie instantanée open source populaire pour iOS qui prend en charge Google Talk, XMPP et Jingle.
En ce qui concerne la raison, le développeur de Monal l'explique : « Si Monal est axé sur la vie privée, il est également gratuit, open source et géré par une seule personne - moi. Je n'ai tout simplement pas les ressources ou le temps nécessaires pour me conformer aux exigences réglementaires de l'UE », dit-il. Il estime en effet qu'il y a bon nombre de problèmes dont les projets open source - qui collectent ou traitent les données des utilisateurs - doivent tenir compte en vertu du RGPD.
Pour sa part, il explique par exemple qu'il n'a pas les ressources nécessaires pour engager un délégué à la protection des données personnelles (Data Protection Officer ou DPO) ou un représentant de l'UE, comme l'exige le RGPD dans certains cas.
Pour information, le DPO est celui qui est chargé de s’informer sur les nouvelles obligations, d’assister l'entreprise qui l'a engagé sur les conséquences des traitements des données personnelles, d’en réaliser l’inventaire et de concevoir des actions de sensibilisation. Autrement dit, il fait le point et pilote en continu la conformité. Mais après cela, il faut encore que ses recommandations soient mises en œuvre par l'entreprise. Pour une application comme Monal, cela va probablement nécessiter un coût de développement supplémentaire, comme changer l'interface utilisateur pour donner à l'utilisateur la possibilité de désactivation de la collecte de données. Mais dans certains cas, la conformité au RGPD peut nécessiter de reconcevoir le fonctionnement de l'application, ce qui peut encore être plus coûteux en temps et argent.
Le développeur de Monal explique par exemple qu'il devrait changer la manière de conserver et traiter les tokens de push qui sont associés aux périphériques et nécessaires pour qu'une notification soit remise à la bonne personne. Mais il n'aurait pas les ressources nécessaires pour le faire. « Je crois en la vie privée, mais je n'ai pas les ressources nécessaires pour respecter la loi, surtout en ce qui concerne la conservation et le traitement de ces tokens », dit-il. À cela, s'ajoute encore le fait qu'en tant que projet open source, Monal repose sur d'autres technologies ouvertes comme XMPP dont le développeur de l'application de messagerie instantanée pour iOS ignore s'ils sont pour leur part en conformité avec le RGPD.
Ce sont toutes ces raisons qui poussent l'opérateur de Monal à se retirer de l'UE. Les utilisateurs de l'UE peuvent toujours télécharger le code source sur GitHub et compiler l'application iOS, mais certaines fonctionnalités seront bloquées.
Source : Blog Monal
Et vous ?
:fleche: Comment jugez-vous cette décision de Monal ?
:fleche: Est-ce une décision basée sur une mauvaise interprétation du RGPD ou plutôt nécessaire ?
:fleche: Est-il possible de respecter la vie privée sans être conforme au RGPD ?
:fleche: Qu'en est-il de vos applications et sites Web ? Sont-ils déjà en conformité ?
Voir aussi :
:fleche: RGPD : Google met à jour sa politique de confidentialité et donne des explications sur sa collecte et son traitement des données utilisateur
:fleche: À l'approche de l'entrée en vigueur du RGPD, Apple durcit le ton contre les développeurs qui partagent les données des utilisateurs avec des tiers
:fleche: RGPD : les Français comptent faire valoir leurs droits à la vie privée auprès des entreprises de médias sociaux, de services financiers et du retail
:fleche: La version 3.9 de Joomla va intégrer de nouveaux outils de confidentialité conformément au règlement général sur la protection des données (RGPD)
:fleche: RGPD : WHOIS va-t-il être contraint de suspendre ses activités au courant de mai ? Quelles conséquences pour les webmasters ?
1 pièce(s) jointe(s)
RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google
RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google,
jusqu'à la sortie du nouveau SDK de Google
À quelques jours de l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), plusieurs médias ont relayés l'information selon laquelle les développeurs Android se sentent aujourd'hui dans l’obligation de suspendre les annonces publicitaires Google pour ne pas être sanctionnés par le nouveau règlement. C’est une situation qui va priver beaucoup de développeurs Android de l’une des plus importantes de leurs sources de revenus.
En effet, il semble que des développeurs auraient soutenu être en attente d'un nouveau SDK (Software Development Kit, en français kit de développement logiciel) dont Google avait fait la promesse. Or, Google avait annoncé que le SDK ne pourrait pas être testé avant la mise en application du RGPD prévue pour le 25 mai prochain.
De peur d’enfreindre les règles du RGPD, les développeurs attendent impatiemment le nouveau SDK de Google, car ils supposent que ce dernier sera conforme aux nouveaux règlements de l’Union européenne sur la protection des données. À ce sujet, un représentant de Google a annoncé dans un forum que la société ne pourrait garantir que les applications utilisant le nouveau SDK seraient effectivement conformes au RGPD. En réponse à une question posée sur un forum, ce dernier a déclaré : « Malheureusement, je suis incapable de vous assurer que vos applications seront conformes à la norme RGPD. Cependant, si vous ne faites pas vos demandes d’annonces via le Google Ads SDK, vous n’aurez pas besoin de demander de consentement avant de diffuser des annonces Google. Si vous demandez des annonces et que vous n’avez pas obtenu de consentement à l’aide du Google Consent SDK, sachez que lorsque l’état de consentement d’un utilisateur est inconnu, et qu’une demande d’annonce est effectuée, Google continue de diffuser les annonces personnalisées. Google reconnaît que les développeurs d'applications peuvent avoir différentes manières d’obtenir les consentements dont Google n’est pas forcément au courant et pour le moment Google compte sur les développeurs pour prendre leur responsabilité vis-à-vis de la politique du consentement des utilisateurs de l’Union Européenne. »
Par ailleurs, un lecteur pense que les recommandations de Google sont contraires aux directives de l’ICO (Information Commissioner’s Office) qui stipule que « les organisations devraient éviter de donner leur consentement pour traiter une condition préalable d’un service ».
Google aurait également émis la déclaration suivante à l'endroit des annonceurs : « nous avons créé les contrôles du Ad Technology Provider (fournisseur de technologies publicitaires) pour que tous les annonceurs utilisant notre technologie publicitaire puissent sélectionner leurs fournisseurs préférés. Les annonceurs choisissent les fournisseurs avec lesquels ils souhaitent travailler et du nombre de vendeurs qu’ils souhaitent sélectionner. S’ils décident de ne pas faire de sélection, nous allons appliquer une liste de fournisseurs les plus couramment utilisés en fonction de ceux qui génèrent beaucoup de revenus aux annonceurs ».
Source : Forum Google - ICO
Et vous ?
:fleche: Que pensez-vous de cette situation à laquelle sont confrontés les développeurs Android ?
:fleche: Vous, développeur Android, attendez-vous aussi le Consent SDK de Google ?
Voir aussi :
:fleche: RGPD : WHOIS va-t-il être contraint de suspendre ses activités au courant de mai ? Quelles conséquences pour les webmasters ?
:fleche: RGPD : Google met à jour sa politique de confidentialité et donne des explications sur sa collecte et son traitement des données utilisateur
:fleche: RGPD : l'opérateur de l'application de messagerie Monal se retire de l'UE estimant ne pas avoir les ressources pour se conformer au règlement
:fleche: L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD après un échec de la commission mixte paritaire la semaine passée
1 pièce(s) jointe(s)
Instapaper, le service de sauvegarde des articles et pages web, suspend temporairement ses activités en Europe
Instapaper, le service de sauvegarde des articles et pages web, suspend temporairement ses activités en Europe
le temps de se mettre en conformité au RGPD
Face au RGPD, qui entre en vigueur aujourd’hui, les réactions sont multiples. Certaines sociétés affirment qu’elles sont en conformité, d’autres préfèrent abandonner leurs activités européennes et d’autres choisissent de prendre une pause le temps de mieux se mettre en accord avec la loi.
C’est dans ce contexte qu’Instapaper, la plateforme lancée en 2008 qui permet de sauvegarder articles et pages web en vue de les consulter ultérieurement, a décidé avant-hier de suspendre momentanément ses activités pour ses clients européens, afin de disposer d'un délai supplémentaire pour se mettre en conformité avec le RGPD.
Dans une note adressée à ses utilisateurs, la société présente ses plus plates excuses pour cette interruption temporaire de ses services, et invite les internautes à contacter son assistance s'ils souhaitent obtenir une copie de tous les contenus sauvegardés dans leur application, ou simplement en savoir plus sur l'avancement des travaux :
« À partir de demain 24 mai 2018, l'accès au service Instapaper sera temporairement indisponible pour les résidents européens car nous continuons à apporter des modifications à la lumière du Règlement général sur la protection des données (GDPR), qui entrera en vigueur le 25 mai 2018. Nous nous excusons pour tout inconvénient, et nous avons l'intention de rétablir l'accès dès que possible.
« Si vous avez des questions à propos de votre compte, souhaitez que nous générions une exportation de vos sauvegardes ou voulez simplement vérifier l’état de nos progrès, veuillez nous en informer à l'adresse support@help.instapaper.com. Nous sommes impatients d'avoir le même service Instapaper que vous connaissez et que vous aimerez accessible en Europe dans un très proche avenir. Merci pour votre patience ».
En clair, contrairement à d’autres services qui préfèrent bloquer entièrement leur service aux utilisateurs européens, Instapaper explique vouloir bloquer temporairement l’accès de son service aux internautes européens afin de laisser le temps à ses équipes d’apporter les changements nécessaires au service. Si le message mentionne la conformité au RGPD du service comme étant la source de cette interruption, il ne donne cependant pas de précision sur les fonctionnalités et modifications que le service souhaite apporter pour s’assurer de sa conformité au nouveau règlement européen.
Pour rappel, le service Instapaper a été racheté en 2016 par le réseau social Pinterest.
Source : note aux utilisateurs
Et vous ?
:fleche: Avez-vous déjà utilisé Instapaper ? Que pensez-vous de ce service ?
:fleche: Dans un contexte où de nombreux navigateurs proposent déjà ces fonctionnalités de façon native, un tel service serait-il toujours, selon-vous, pertinent ? Pour quelles raisons ?
Voir aussi :
:fleche: UK : à l'approche du RGPD, l'Université de Greenwich condamnée à une amende de 120 000 £ pour avoir exposé les données de 20 000 personnes
:fleche: Microsoft présente ses solutions de conformité au RGPD, afin d'aider les entreprises à réduire les risques en matière de conformité
:fleche: RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google, jusqu'à la sortie du nouveau SDK de Google
:fleche: RGPD : l'opérateur de l'application de messagerie Monal se retire de l'UE, estimant ne pas avoir les ressources pour se conformer au règlement
:fleche: RGPD : WHOIS va-t-il être contraint de suspendre ses activités au courant de mai ? Quelles conséquences pour les webmasters ?
1 pièce(s) jointe(s)
Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux
Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux,
des sites bloquent les européens
Vous avez probablement dû recevoir de nombreux courriels d’entreprises vous demandant par exemple votre consentement pour vous garder dans leur liste de diffusion ou vous invitant à parcourir leurs nouvelles politiques d’utilisation qui se voulait conforme au RGPD.
Il faut dire que la sanction prévue en cas de non respect (20 millions d’euros ou 4 % du chiffre d’affaires) a de quoi impressionner. Raison pour laquelle certaines entreprises, probablement encouragées par des conseils juridiques, ont sauté sur ce qu’elles ont considéré comme étant l’option la plus sûre.
Mais Toni Vitale, le responsable de la réglementation, des données et de l'information au cabinet d'avocats Winckworth Sherwood, estime que nombreuses de ces demandes seraient des formalités administratives inutiles, et que certaines sont même illégales.
« Les entreprises ne sont pas obligées de "reconfigurer” automatiquement ou d'actualiser tous les consentements de la loi de 1998 existants en préparation du RGPD », a-t-il déclaré. « La première question à poser est la suivante : lequel des six motifs juridiques du RGPD devez-vous utiliser pour traiter les données personnelles ? Le consentement est seulement l’un des motifs. Les autres sont le contrat, l'obligation légale, les intérêts vitaux, l'intérêt public et les intérêts légitimes ».
« Même si vous comptez sur le consentement, cela ne signifie pas que vous devez demander à nouveau le consentement. La Raison 171 du RGPD indique clairement que vous pouvez continuer à vous fier à tout consentement existant conformément aux exigences du GDPR, et qu'il n'est pas nécessaire de rechercher un nouveau consentement. Assurez-vous simplement que votre consentement répond à la norme RGPD et que les consentements sont correctement documentés ».
En effet, dans le texte de la Raison 171 du RGPD, il est écrit : « il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement, de manière à ce que le responsable du traitement puisse poursuivre le traitement après la date d'application du présent règlement ».
En d'autres termes, si l'entreprise a eu le consentement de communiquer avec vous avant RGPD, ce consentement est probablement reconduit. Et même s'il ne l’était pas, il y a cinq autres raisons qu'une entreprise peut citer pour continuer à traiter les données.
De plus, a déclaré Vitale, si l'entreprise n'a pas vraiment le consentement nécessaire pour communiquer avec vous, alors elle n'a probablement pas le consentement, même pour envoyer un courriel, pour vous demander de donner ce consentement.
« Dans de nombreux cas, l'expéditeur va enfreindre un autre règlement, le Règlement sur la protection des renseignements personnels et les communications électroniques, qui interdit d'envoyer un courriel à quelqu'un pour lui demander son consentement afin de lui envoyer des courriels promotionnels ».
Pour guider les entreprises, Steve Wood, le vice-commissaire à l'information, leur a conseillé de se demander si elles ont réellement besoin d’actualiser leur consentement avant de faire parvenir des courriels aux internautes, et surtout de ne pas oublier de mettre en place des mécanismes permettant aux gens de retirer leur consentement facilement."
Comme Vitale, Wood a insisté sur le fait que demander le consentement de faire parvenir des courriels promotionnel à des personnes qui n'avaient pas initialement donné leur accord pour recevoir des courriels pourrait être illégal : « Il est également important de se rappeler que dans certains cas, il peut ne pas être approprié de demander un nouveau consentement si vous ne savez pas comment vous avez collecté les informations de contact, et que le consentement n'aurait pas satisfait à la norme ».
Les réactions sont diverses
Certaines entreprises ont décidé d’arrêter leurs activités en Europe. C’est le cas du site Super Monday Night Combat, une arène multijoueur lancée en 2012 par Uber Entertainment, Unroll.me, le service en ligne de gestion des courriels ou encore Verve, la société qui gère une plateforme marketing mobile alimentée par les données de localisation (elle n’était en Europe que depuis deux ans).
D’autres comme Instapaper, la plateforme lancée en 2008 qui permet de sauvegarder articles et pages web en vue de les consulter ultérieurement, ont annoncé une suspension momentanée de leurs activités. C’est sans doute dans cette catégorie que le service WHOIS, pour lequel l’ICANN a demandé sans succès un moratoire au G29, figure.
Paul Jordan, le directeur général de the International Association of Privacy Professionals, se veut un tantinet rassurant : « Je pense qu'il est tout à fait clair qu'un certain nombre d'entreprises ne seront pas prêtes [pour le RGPD], mais si elles peuvent démontrer qu'elles ont bien tout planifié, [les régulateurs leur donneront] une certaine marge de manœuvre ».
Les entreprises vont probablement observer le premier procès en matière de RGPD avec beaucoup d'intérêt.
Source : The Guardian, Raison 171 (RGPD)
Et vous ?
:fleche: Partagez-vous l'avis de Paul Jordan qui pense que les entreprises vont bénéficier dans un premier temps d'une certaine marge de manœuvre ?
:fleche: Quel message cela enverrait-il aux autres ?
:fleche: S'il fallait établir un Wall of Shame des décisions prises par les entreprises à cause du RGPD, quelle entreprise serait digne d'y figurer selon vous ?
Voir aussi :
:fleche: UK : à l'approche du RGPD, l'Université de Greenwich condamnée à une amende de 120 000 £ pour avoir exposé les données de 20 000 personnes
:fleche: Microsoft présente ses solutions de conformité au RGPD, afin d'aider les entreprises à réduire les risques en matière de conformité
:fleche: RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google, jusqu'à la sortie du nouveau SDK de Google
:fleche: RGPD : l'opérateur de l'application de messagerie Monal se retire de l'UE, estimant ne pas avoir les ressources pour se conformer au règlement
:fleche: RGPD : WHOIS va-t-il être contraint de suspendre ses activités au courant de mai ? Quelles conséquences pour les webmasters ?
