La confidentialité n’est pas seulement un document
Chaque produit SaaS moderne a une politique de confidentialité. La plupart disent ce qu’il faut.
Elles décrivent quelles données sont collectées, comment elles sont utilisées, quelles catégories de destinataires les reçoivent, combien de temps elles sont conservées et comment un client peut exercer ses droits.
C’est nécessaire — mais ce n’est pas suffisant.
Une politique de confidentialité vous dit ce qu’un fournisseur promet de faire. L’architecture du produit vous dit ce qu’il pourrait faire.
Si une politique dit "nous ne vendons pas vos données" mais que l’architecture repose sur une infrastructure adtech, alors la politique porte une lourde charge. Si une politique dit "nous protégeons vos données" mais que le système tient grâce à vingt services externes, alors la politique fait des promesses sur des parties du système que le fournisseur ne peut pas entièrement contrôler.
Nous pensons que la confidentialité doit d’abord être visible dans l’architecture, puis décrite dans la politique.
Ce que signifie réellement "par l’architecture"
La confidentialité par l’architecture est l’idée que la structure même du système doit limiter la manière dont les données peuvent être collectées, consultées, traitées et partagées.
C’est la différence entre "nous choisissons de ne pas faire X" et "nous avons conçu la plateforme de manière à rendre X peu pratique".
Le premier relève de la culture. Le second est une contrainte.
Les cultures changent. Les contraintes sont stables.
Les décisions qui la façonnent
La confidentialité par l’architecture n’est pas une fonctionnalité unique. C’est une suite de petites décisions, répétées pendant des années.
Choisir d’exploiter des composants en interne plutôt que de faire transiter les données par des services externes. Choisir de minimiser les catégories de données que nous collectons. Choisir de ne pas s’intégrer à des écosystèmes publicitaires ou de suivi comportemental. Choisir de stocker les données métier dans les régions attendues par nos clients. Choisir de garder les espaces de travail isolés. Choisir de ne pas exploiter le contenu client pour en tirer des insights marketing.
Aucune de ces décisions n’est spectaculaire à elle seule. C’est leur effet cumulatif qui façonne la plateforme.
Ce que nous ne collectons délibérément pas
Un exercice utile consiste à prendre le contre-pied du résumé habituel sur la confidentialité.
Nous ne collectons pas de profils comportementaux de votre équipe à des fins de ciblage publicitaire. Nous n’enregistrons pas de replays de session de l’usage des espaces de travail. Nous ne déployons pas de suivi intersites provenant de réseaux publicitaires dans la plateforme authentifiée. Nous ne collectons pas de données dont nous ne pouvons pas justifier le besoin.
Chaque donnée supplémentaire collectée par une plateforme est une décision en matière de confidentialité. La plupart des plateformes penchent vers le plus. Nous penchons vers le moins.
Ce que nous ne partageons délibérément pas
Il n’y a aucune revente d’informations clients. Il n’y a aucun partage avec des partenaires marketing. Il n’y a aucune filière vers des courtiers en données. Il n’y a aucun jeu de données "anonymisé" concédé sous licence à des tiers.
Quand un fournisseur dit "nous pouvons partager des données agrégées et anonymisées avec nos partenaires", il vaut la peine de comprendre ce que cette phrase autorise réellement. Nous n’avons pas voulu l’écrire.
Ce que nous ne conservons délibérément pas pour toujours
La conservation des sauvegardes existe, pour des raisons de fiabilité opérationnelle et d’obligation réglementaire. Nous documentons nos durées de conservation dans la Politique de confidentialité.
Mais en dehors de ces fenêtres de conservation explicites, nous supprimons ce dont nous n’avons plus besoin. Nous ne conservons pas indéfiniment les informations clients par défaut. Nous ne gardons pas les données des comptes résiliés actives au cas où "vous pourriez revenir". Nous n’accumulons pas d’informations en prévision de futures idées produit.
Si nous n’avions pas besoin de les conserver, nous les supprimons.
Pourquoi la minimisation est importante
La minimisation des données est l’un des principes fondamentaux du RGPD. C’est aussi une bonne pratique d’ingénierie.
Chaque donnée supplémentaire stockée par un système est quelque chose qu’il faut protéger, sécuriser, sauvegarder, répliquer, maintenir conforme et, à terme, supprimer. Moins de données signifie moins de surface à défendre.
Pour nos clients, cela signifie aussi moins de préoccupations. Les informations qui existent sont celles que vous y mettez — pas la longue traîne de métadonnées comportementales dont quelqu’un, quelque part, pourrait finir par trouver un usage.
Pourquoi l’isolation est importante
Chaque espace de travail KIMISUITE est logiquement isolé de tous les autres. Vos données métier ne se mélangent pas au contenu des autres clients. Les opérations entre espaces de travail ne se produisent pas par défaut. Les fonctionnalités inter-espaces sont optionnelles et explicites.
Cette isolation est intégrée au fonctionnement de la plateforme, pas seulement à la politique.
Pourquoi l’architecture l’emporte sur le marketing
Il est facile pour n’importe quel fournisseur d’écrire "la confidentialité est dans notre ADN" sur une page marketing. Cela ne coûte rien.
Il est plus difficile de prendre des décisions d’architecture qui contraignent la plateforme elle-même — des décisions qu’il faut défendre chaque fois qu’une exigence concurrente apparaît.
Les équipes internes demanderont plus de données comportementales. Les équipes commerciales demanderont des profils clients plus riches. Le marketing voudra des replays de session. Un futur investisseur suggérera de monétiser des jeux de données "anonymisés".
La réponse à tout cela, par architecture et par intention, est non.
Réflexions finales
Une politique de confidentialité peut décrire ce qu’un fournisseur veut faire.
L’architecture d’une plateforme détermine ce qu’un fournisseur peut faire.
Nous avons choisi de faire correspondre les deux — et de maintenir cette cohérence à mesure que la plateforme grandit.
Si votre entreprise stocke des informations importantes dans une plateforme SaaS, cette cohérence mérite d’être examinée attentivement.
Poursuivez la lecture de la série Trust :
← Précédent : Qui peut accéder à vos données métier ?
→ Suivant : Que deviennent vos données lorsque vous résiliez ?
Commencez votre essai gratuit de 14 jours · Voir les tarifs KIMISUITE