Quel est le plus important pour votre entreprise : accroître les ventes ? S’équiper des dernières solutions à la mode ? Ou protéger les informations que les clients échangent avec vous ?
Il y a de grandes chances pour que vous ayez répondu « accroître les ventes ». Si c’est le cas, vous risquez d’être surpris : l’avènement du Règlement Européen sur la Protection des Données à caractère personnel (RGPD) va probablement vous forcer à revoir vos priorités ! Non pas, évidemment, que l’accroissement des ventes ne soit plus la priorité de l’entreprise. Mais plutôt que, selon comment vous considérez ce nouveau règlement et les données personnelles de vos clients, celui-ci va vous permettre de mieux vendre… ou va vous exposer à un avenir incertain !
Les entreprises les plus perspicaces ont déjà pris les devants. Elles ses réorganisent pour se conformer à ce que beaucoup considèrent comme une excellente opportunité de faire respecter les droits des citoyens vis-à-vis des données et de créer avec eux de nouvelles relations plus riches basées sur la confiance. Quant à celles qui n’y voient qu’une simple formalité réglementaire... elles risquent d’être rapidement désenchantées !
Car il est facile de se perdre dans les méandres de la réglementation et de courir aveuglément après la conformité sans en percevoir les véritables enjeux. Aujourd’hui, les consommateurs, particuliers comme professionnels, souhaitent travailler avec les entreprises qui leur inspirent confiance, notamment lorsqu’il en va de leurs données personnelles. Et le RGPD leur donne désormais les moyens de faire entendre leur voix et d’agir !
Le RGPD est donc une question de responsabilités. Il élève la protection des données personnelles au rang de priorité stratégique pour les entreprises qui traitent avec des citoyens de l’Union européenne. Il exige d’elles transparence, loyauté et licéité. Il appelle aussi à une culture dans laquelle la confidentialité et la sécurité des données sont au cœur de la relation client (ce qui bénéficiera indirectement à toutes les activités de l’entreprise en lui permettant d’élever considérablement son niveau de sécurité).
La course à la crédibilité
Les entreprises ne peuvent plus ignorer le principe de transparence des données ni leurs responsabilités en matière de traitement des informations clients. À tous les niveaux hiérarchiques, elles doivent accorder la plus grande importance à la confiance que les clients leur témoignent et s’engager à prendre des mesures adéquates pour se protéger contre des cybermenaces de plus en plus complexes.
Des programmes de formation doivent d’ores et déjà être mis en place pour aider le personnel à comprendre les subtilités de la confidentialité des données, ainsi que le rôle qu’il a à jouer dans la sécurité de ses propres données et de celles des clients. Ces initiatives doivent être appuyées par des politiques de fond concernant le traitement des données et l’interaction avec les clients.
Certes, parvenir à une crédibilité durable n’est pas aisé (mais il est en revanche très facile de la perdre !). Mais pour les entreprises qui y parviennent, cela peut servir de tremplin à la création de services plus innovants et donc à une augmentation des profits.
Exigences en matière de confidentialité et de sécurité des données : des changements majeurs
Le RGPD est l’occasion pour les entreprises de s’améliorer. C’est une formidable invitation à examiner en détail tous les aspects juridiques de la gouvernance, de la collecte et du traitement des données, de même que les technologies et les politiques de sécurité. Les modifications et améliorations allant dans le sens du RGPD constituent ainsi un pas en avant clair vers la promotion des principes de confidentialité et de sécurité « dès la conception » (Privacy & Security by Design), à l’échelle de l’entreprise. La gestion responsable des données est vouée à devenir l’une des distinctions les plus convoitées par les entreprises dans les années à venir.
Le RGPD est un processus évolutif qui exige toutes sortes de changements culturels. Mais les impératifs-clés restent les mêmes. Les entreprises doivent par exemple envisager l’automatisation des contrôles techniques (qui évitent erreurs et oublis, souvent cause de fuite de données), et mettre en place des alertes pour signaler les tentatives de violation des données. N’oubliez pas qu’une violation englobe bien sûr les accès non autorisés, mais aussi les modifications et pertes accidentelles. Pour éviter cela, la création d’un modèle d’inventaire et de gouvernance des données conforme à la réglementation permettra d’assurer un niveau de protection adéquat. Et bien entendu l’anonymisation, la pseudonymisation et le chiffrement des données doivent, dans la mesure du possible, faire partie de la boîte à outil de l’entreprise !
Des analyses d’impact relatives à la protection des données (DPIA, Data Protection Impact Assessment) ne sont pas toujours obligatoires (voir plus bas), mais elles peuvent faciliter l’identification, l’évaluation et l’atténuation des risques liés au respect de la vie privée. Elles s’avèrent particulièrement utiles lors de l’introduction d’un nouveau système ou d’une nouvelle technologie de traitement des données.
Le RGPD prévoit la conduite d’analyses
DPIA par les responsables du traitement dans tous les cas pouvant engendrer un « risque élevé » pour les personnes concernées. Cela comprend le traitement des données sensibles ou tout système de surveillance continue des individus susceptibles de leur porter préjudice ou de leur causer des torts juridiques.
Face à toutes ces nouvelles exigences, et au travail de mise en conformité parfois important qui attend les entreprises, la meilleure règle est de considérer le RGPD comme une initiative positive et un catalyseur de changement. Les entreprises, à tous les niveaux hiérarchiques, doivent aspirer à devenir des gestionnaires irréprochables des données, non pas uniquement en réponse à la nouvelle réglementation, mais parce qu’il s’agit de la démarche commerciale la plus sensée et celle attendue par leurs clients. La peur de la sanction en cas de non-conformité n’est pas une raison valable. En revanche, l’adoption d’une politique viable de confidentialité des données et de solutions de sécurité intégrées vous permettra de vous classer parmi les meilleurs et, surtout, de rester en phase avec notre époque.