Journée mondiale de la protection des données personnelles : Et si vous alliez au-delà de la conformité?
C’est en 2007 que le conseil de l’Europe a, pour la première fois, proclamé une « journée européenne de la protection des données à caractère personnel » le 28 janvier de chaque année.
Cette journée s’inscrit dans la lignée de la « Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel » . A l’heure des algorithmes et des démarches marketing en ligne, il nous semble important pour les entreprises de faire le lien entre le pouvoir de la « data » et une démarche de responsabilité sociétale et d’éthique.
Connaitre la loi et adapter son système de management des données pour prouver sa conformité
Depuis 2018, le Règlement européen sur la protection des données renforce les droits des personnes concernant leurs données personnelles
Qu’est-ce que le RGPD ?
Au 25 mai 2018 est entré en vigueur le Règlement Général sur la Protection des Données (RGPD) qui harmonise au niveau européen la réglementation sur la protection des données personnelles. Il vient remplacer la directive de 1995 sur la protection des données.
Le RGPD a pour objectif la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel.
Il concerne toutes les organisations, privée ou publiques et toutes les entreprises, quels que soient leur taille et leur secteur d’activité́.
En cas de violation de la sécurité des données, l’entreprise risque :
- Une amende administrative en cas d’action de la CNIL ou d’une autorité́ administrative. Le risque d’une sanction financière peut aller jusqu’à 4% de votre chiffre d’affaires annuel global, ou 20 millions d’euros
- Une amende pénale jusqu’à 300 000 € et peine d’emprisonnement jusqu’à 5 ans
Le « RGPD » a fait l’objet de nombreuses discussions depuis, alors si certains ne sont toujours peu ou pas au clair, nous vous conseillons le guide pratique de sensibilisation au RGPD réalisé par la CNIL et BPI, dédiée aux PME.
Comment mettre en place une politique interne afin de le respecter ?
Voici les 4 principales étapes à suivre pour instaurer une politique de protection des données en conformité avec la loi. (Attention cependant à bien faire perdurer ces actions dans le temps afin qu’elles soient efficaces !)
1. Dresser un état des lieux
Identifier vos activités nécessitant de la collecte et du traitement de données et créer une fiche pour chacune d’entre elle, répertoriant l’objectif de la base de données, la catégorie des données, les personnes ayant accès aux données et la durée de conservation des données
2. Trier vos données
Vérifier chacune des fiches créées précédemment et se demander si
- Les données traitées sont réellement nécessaires
- Les données sont dites « sensibles » (ex. informations sur l’origine ethnique, la religion) – si c’est le cas, exercer une vigilance particulière (pour plus d’informations, veuillez vous référer au guide de la CNIL, page 52)
- L’accès à ces données est bien restreint aux seules personnes qui les nécessitent
- La durée de conservation n’est pas dépassée
3. Respecter les droits des personnes
Veuillez à bien informer les personnes dont on collecte les informations sur
- La raison de cette dernière
- Vos droits à collecter ces informations
- L’identité des personnes ayant accès à ces informations
- La durée de conservation des données
- La manière dont elles peuvent exercer leur droit quant à leurs données personnelles (droit d’accès, de rectification, d’effacement…)
Permettez également aux personnes dont vous traitez les données d’exercer facilement leurs droits, en leur donnant des moyens simples et transparents, par exemple : prévoyez un formulaire de contact spécifique sur votre site web, un numéro de téléphone ou une adresse email dédiée.
4. Sécuriser vos données
Afin d’éviter le risque de perte ou de piratage, veillez à prendre les mesures adéquates, telles la mise à jour de vos antivirus et logiciels, le changement régulier des mots de passe et utilisation de mots de passe complexes, ou le chiffrement de vos données dans certaines situations.
Dépasser la logique de risque juridique et saisir les opportunités de se différencier
Au-delà du simple respect de la loi, la protection des données peut s’avérer un réel avantage concurrentiel pour une entreprise qui implémente une politique efficace et sûre.
Avantages concurrentiels pour l’entreprise
- Améliorer votre efficacité́ commerciale et mieux gérer votre entreprise
Dans la gestion des données personnelles détenues par l’entreprise, il y a une étape non négligeable abordée ci-dessus qui est le recensement et donc la connaissance des informations détenues.
Au-delà de cette action, l’entreprise peut exploiter ces données afin de connaître davantage sa clientèle et d’obtenir des informations stratégiques sur le profil des clients et leurs réels besoins.
- Renforcer la confiance et l’image de l’entreprise
La bonne conformité est également un moyen de se distinguer de la concurrence auprès des clients.
Avec une politique solide de protection des données, vous devenez transparent quant à votre utilisation de celles-ci, ce qui démontre aux clients (ou employés) que vous les considérez et les prenez en compte de manière sérieuse.
- Améliorer la sécurité́ des données de votre entreprise
Bien sécuriser ses données (étape 4 de la mise en place d’une politique de protection des données) est bien sûr la clé de voute de la loi RGPD mais bien au-delà permet également la meilleure gestion de toutes les données de l’entreprise, et pas uniquement les données personnelles. Cela limite donc également le risque d’espionnage économique / industriel par cyberattaque.
Les enjeux RSE
La protection des données en entreprise entre également dans une logique RSE (Responsabilité Sociétale des Entreprises) et pas seulement dans une logique purement juridique ou commerciale, notamment dans le cadre des dialogues (dématérialisés) avec ses parties prenantes, dont ses clients. Tout comme la RSE, la protection des données induit une démarche éthique et responsable de l’entreprise auprès de ses parties intéressées.
Cette problématique est notamment présente dans la norme ISO 26000, dans une des sept questions centrales nommée « question relative aux consommateurs ».
Les questions relatives aux consommateurs et liées à la responsabilité́ sociétale concernent, entre autres, les pratiques loyales de commercialisation, la protection de la santé et de la sécurité́, une consommation durable, la résolution des conflits et les recours associés, la protection des données et de la vie privée ainsi que l’accès aux produits et services essentiels, la satisfaction des besoins des consommateurs vulnérables et défavorisés et l’éducation.
Dans le domaine d’action « Protection des données et de la vie privée des consommateurs », il est dit plus précisément qu’elle est destinée à sauvegarder « les droits des consommateurs en matière de vie privée, en limitant les types d’informations réunies et les méthodes d’obtention, d’utilisation et de protection de ces informations. »
Des actions et attentes associées sont d’ailleurs déclinées dans la norme, convenant notamment que l’organisation restreigne sa collecte de données aux informations indispensables, spécifie l’objectif de la collecte de données (avant ou au moment de celle-ci) ou encore protège ces données en utilisant des sauvegardes de sécurité adaptées.
De même, la GRI (Global Reporting Initiative) aborde cet enjeu de confidentialité des données des clients, notamment dans sa norme GRI 418 qui traite des pertes des données des clients et des atteintes à la confidentialité de ces dernières.
Les exigences de reporting obligent la communication des informations suivantes : nombre de plaintes reçues concernant des atteintes à la confidentialité des données des clients, le nombre total de fuite, vol ou perte identifiée de données client et enfin si l’organisation n’a pas relevé de plainte, elle doit effectuer une déclaration brève à ce sujet.
Dans un contexte de cybercriminalité croissante et toujours plus difficile à parer, la protection des données est un réel risque pour la sécurité de l’entreprise avec des enjeux financiers, économiques mais aussi réputationnels, en cas de non-respect de la loi ou de vol de données.
La bonne gestion des données peut également s’avérer un outil stratégique pour l’entreprise apportant des informations cruciales pour l’activité tout en prouvant votre intérêt et votre respect pour vos parties prenantes.
Il est donc aujourd’hui indispensable pour les organisations de déployer et mener une politique solide de gestion des données.
