Plus de 300 personnes se sont réunies à Station F le 25 avril autour d’une même ambition : faire du RGPD un point de rencontre.
Une soirée de partage et de sensibilisation
Un point de rencontre entre des citoyens ou consommateurs de plus en plus attentifs à l’usage qui est fait de leurs données personnelles ; et des entreprises ou organisations publiques qui prennent conscience du fait que l’utilisation des données personnelles trouve son sens – y compris économique – dans la limpidité des modèles partagés avec les utilisateurs.
Plus que « la donnée personnelle » capturée, c’est la « confiance personnelle » confiée par l’utilisateur qui est source d’énergie (renouvelable) de l’économie à l’ère numérique.
Pour sensibiliser les entreprises et accélérer leur mutation (les « rendre vertueuses »), le collectif e-bastille a créé un cahier de doléances en ligne dans lequel les citoyens sont encouragés à remonter les utilisations considérées comme non conformes de leurs données. Ce cahier sera à l’origine d’actions collectives rendues possibles en France depuis la Loi République Numérique.
A ce jour 76 doléances ont déjà été enregistrées.
Dans un contexte mondialisé – pour mémoire, le GDPR concerne les citoyens européens – Marianne Georgelin de l’AFNIC rappelle que l’anonymisation des données personnelles des dépositaires de noms de domaines est loin d’être actuellement une réalité. Ainsi, tous les dépositaires de noms de domaine dans la majorité des extensions voient leurs données personnelles accessibles à tous sans contrôle possible. La démarche de protection des données sur le .fr et les extensions gérées par l’Afnic est rappelée. Elle souligne cependant que dans un monde de responsabilités, l’anonymat garanti au quotidien doit pouvoir être levé en cas de requête légitime d’un ayant-droit ou d’un représentant des forces de l’ordre. Dit autrement, le respect de la vie privée ne doit pas exonérer les utilisateurs de responsabilité publique.
Il en va de même pour les grandes organisations internationales, rappelle David Martinon, Ambassadeur pour le numérique, pour qui le partage « à tout vent » de données personnelles – y compris intimes ou sensibles ne peut être la norme quelles que soient les Conditions générales signées en amont. Que la société ne peut pas s’exonérer d’un débat sur certaines dérives mises en lumière récemment, par exemple pour Cambridge Analytica ou Grindr.
Me Etienne Drouard souligne à ce propos que, malgré le GDPR, rien n’interdit encore aujourd’hui à quelque acteur de « donner un sens électoral aux données comportementales des français sur les réseaux sociaux ». Il faut sans doute comprendre que s’il est important de s’émouvoir ou de s’offusquer des comportements « scandaleux » de tel ou tel acteur à l’international, peut-être serait-il plus efficace de réfléchir aux moyens à mettre en place pour nous prémunir contre de telles dérives.
Une question de confiance
Si ces trois interventions appellent à l’indispensable sensibilisation des consommateurs et citoyens à la maîtrise du partage de leurs données personnelles avec des tiers, elles éclairent une fois encore l’importance considérable que revêt la confiance des utilisateurs finaux dans les services qu’ils consomment. La confiance n’est pas un constante ! Elle est la résultante d’une situation à un instant donné. Et sans confiance, pas d’économie, rappelle Guillaume Buffet. Ainsi, la donnée personnelle n’a finalement pas de valeur à l’ère du GDPR si elle n’est pas assortie de la confiance des personnes concernées !
C’est dans ce contexte que l’association PrivacyTech et l’Afnor cherchent à créer les conditions de la normalisation des certifications des acteurs en premier lieu ; et la facilitation de l’identification des catégories de données personnelles traitées dans un second lieu. Identification, évaluation et pourquoi pas labellisation d’acteurs d’une part. Création d’une librairie d’icônes au service de l’identification facilitée des catégories de données personnelles traitées d’autre part.
18 Startups séléctionnées
A la suite de ces échanges, 18 startups identifiées grâce à MotherBase (l’outil d’identification par Intelligence Artificielle des acteurs de l’innovation développé par U Change) puis sélectionnées et qualifiées grâce à SNCF Développement et l’association Privacy Tech ont présenté leurs solutions opérationnelles au service de la mise en conformité GDPR.
- Visions : solution permettant de décider avec qui et pour quel usage on souhaite partager ses données personnelles,
- Risk’n Tic : solution de pilotage de sa mise en conformité RGPD,
- GDPR Drop par U Change et W Talents : solution DROP, plateforme SaaS qui permet d’automatiser et rendre collaboratif l’alimentation du registre de traitement des données ainsi que de piloter sa mise en conformité RGPD,
- Woleet : API basée sur une blockchain permettant l’ancrage de preuve,
- Didomi : solution Privacy Center pour gérer la politique de confidentialité des données RGPD,
- Onecub : solution de portabilité des données personnelles,
- Mailjet : solution de pilotage d’emails marketing et transactionnels,
- Lyyti : solution de gestion d’événements,
- Lena Cloud : solution Cloud permettant de stocker les données sensibles,
- KeeeX : solution permettant de certifier et tracer des documents et fichiers via une technologie blockchain,
- Cozy : solution de cloud permettant aux usagers de stocker leurs données personnelles,
- DIFENSO : solution de chiffrement des données,
- Magush : application DataRespect pour Smartphone a été conçue pour diagnostiquer et sécuriser les données personnelles,
- DATAE : solution logicielle de gestion du registre des traitements des données,
- Chekk : solution de gestion de l’identité numérique,
- BlockNote : solution permettant de tenir le registre de traitements des données,
- About Innovation : fournisseur de services en ligne dédiés à la propriété intellectuelle.
