La veille de la date limite de mise en conformité avec le RGPD, j’ai reçu des mails de 8 sociétés différentes me demandant mon consentement pour collecter des données me concernant. Mais, je ne peux même pas me rappeler comment je me suis retrouvé sur les listes de diffusion de ces fournisseurs, et je n’ai reçu aucune autre communication de leur part dernièrement. Évidemment, ils ont collecté mes informations personnelles sans but il y a quelque temps, se sont-ils rendu compte au dernier moment qu’ils tombent maintenant sous le contrôle du RGPD, et ont décidé de faire « quelque chose ».
L’ironie est que, selon le PDG d’une société de gouvernance des données personnelles, l‘envoi de ces courriels « avec option » est en soi une violation des règles de la protection des données. De plus, il s’agit de la violation la plus grave du RGPD, passible de l’amende maximale.
Beaucoup d’entreprises prennent des mesures irréfléchies comme l’envoi de ces courriels, en partie à cause de toutes les manchettes de « conformité de dernière minute du RGPD » qui inondent l’Internet de mythes sur le RGPD et provoquent la panique. Mon conseil est de prendre du recul et d’obtenir une vue d’ensemble de toutes vos activités de conformité, et de vérifier si l’un de ces mythes concernant le RGPD empêche votre entreprise d’être vraiment prête pour le RGPD.
Mythe 1 : Le RGPD n’est qu’une question de consentement.
En gros, le consentement représente 90 % du RGPD, mais vous ne devriez pas investir tout votre temps à satisfaire aux exigences en matière de consentement.
Le fondement du RGPD est la protection des données dès la conception et par défaut. Par conséquent, pour se conformer à la loi, votre organisation doit s’occuper des éléments de base de la sécurité. Tout d’abord, identifiez les risques les plus importants et planifiez leur atténuation. Deuxièmement, concentrez vos efforts techniques et organisationnels pour réduire au minimum le traitement des données personnelles – assurez-vous de ne recueillir que le maximum de données nécessaires, de ne les traiter que dans la mesure où cela est nécessaire et de ne les conserver que le temps nécessaire. Par exemple, si vous utilisez une plate-forme sociale, assurez-vous qu’elle permet aux utilisateurs de définir leurs propres paramètres de profil de la manière la plus conviviale possible, afin de recueillir le minimum d’informations dont vous avez besoin.
Si vous ne savez pas par où commencer, consultez ces deux autres normes de conformité qui fournissent des directives détaillées : La norme ISO 27001 explique comment sécuriser les données personnelles du point de vue technique et organisationnel, et la norme BS 10012 fournit des conseils sur la façon d’établir la protection des données personnelles, d’une manière qui se rapproche le plus des exigences du RGPD.
Mythe 2. Il est suffisant d’envoyer des e-mails demandant le consentement des clients.
Pour obtenir le consentement du client pour la collecte et le traitement des données personnelles, la plupart des entreprises placent une case à cocher spéciale sur leur site Web ou envoient des courriels expliquant comment s’exclure, écrits en minuscules caractères à la fin de l’e-mail.
Cependant, le RGPD modifie l’essence du consentement, et ces approches ne suffiront plus. Le consentement n’est plus général ; vous devez expliquer clairement toutes les façons dont vous utiliserez les données d’une personne. Par exemple, si vous prévoyez d’effectuer six actions différentes avec les données du sujet, assurez-vous d’expliquer pourquoi vous devez le faire et assurez-vous que le sujet a donné son accord pour chacune d’entre elles. En particulier, si vous voulez fournir aux gens des mises à jour sur les produits et le marketing par publipostage direct et de la publicité en ligne personnalisée, assurez-vous d’avoir obtenu leur consentement pour les deux méthodes.
De plus, vous devez vous assurer que votre organisation traite les données de chaque sujet exactement comme vous avez précisé que vous le feriez. Cela peut avoir un impact significatif sur vos processus d’affaires, puisque vous devrez changer la façon dont vous traitez les données. Ces changements affecteront tous les employés qui collectent et stockent des données sensibles sur vos clients, tels que vos services marketing, ventes, RH, assistance et juridique.
Mythe 3. L’étendue du travail semble impossible.
La portée du travail peut paraître décourageante. L’astuce consiste à diviser le défi en tâches plus petites. Voici quelques-unes des mesures les plus importantes à prendre :
- Déterminez les données sensibles que vous détenez et les processus qui s’y rapportent. Pour commencer, l’équipe informatique doit collaborer avec les responsables des autres services pour identifier les propriétaires des données, et déterminer les types de données personnelles qu’ils traitent.
- Décidez quelles données sont les plus critiques. Idéalement, vous voulez couvrir tous les risques, mais dans la pratique, vous devez d’abord établir des priorités, et protéger vos données les plus importantes ou sensibles. Vu que les propriétaires de données connaissent le mieux leurs données, travaillez avec eux individuellement pour organiser les données en catégories, de la plus sensible à la moins sensible.
- Supprimez les données excessives. Il est essentiel de ne recueillir et de ne conserver que le minimum d’information dont vous avez besoin pour fonctionner. Par exemple, si certaines personnes ont déménagé dans une autre ville, et sont donc peu susceptibles de rester vos clients, supprimez toutes les informations les concernant. Cela réduit les risques et libère de l’espace de stockage.
- Assurez-vous que toutes les données réglementées sont stockées dans un endroit sûr, en fonction de leur valeur et de leur sensibilité.
- Mettez à jour les droits d’accès pour vous assurer que l’information protégée n’est accessible qu’au personnel autorisé, et uniquement en fonction de la nécessité de la connaître.
- Mettez à jour vos politiques de sécurité en fonction des modifications que vous avez apportées. Ces politiques sont la preuve que votre entreprise dispose d’un plan sécurisé pour traiter les données personnelles des clients.
Mythe 4. Le RGPD est destructeur de la stratégie marketing.
De tous temps, la plupart des entreprises travaillent avec le modèle marketing de l’entonnoir, essayant d’élargir leur portée autant que possible, afin d’augmenter les ventes. Aujourd’hui, elles craignent de perdre leur base de données de clients parce que des personnes pourraient les obliger à effacer tous les renseignements personnels.
Cependant, les personnes qui veulent que vous effaciez les données sont rarement vos clients fidèles, alors pourquoi devriez-vous dépenser du temps et de l’argent pour stocker et traiter leurs données ? Ces gens ne veulent même pas entendre parler de vous ! Aujourd’hui, il est plus efficace de cibler vos efforts de marketing sur les besoins spécifiques d’un public clairement défini qui s’intéresse à votre marque. La règle 80/20, qui stipule que 80% des effets proviennent de 20% des causes, s’applique ici : La plus grande partie de vos revenus provient toujours de vos clients fidèles et de vos clients potentiels très pertinents.
Pensez-y de cette façon : le RGPD est l’occasion parfaite de renforcer votre stratégie marketing en construisant une base de données de prospects et de clients très pertinents.
Mythe 5. Les frais relatifs au RGPD vont annihiler mes affaires.
De nombreuses organisations sont alarmées par les chiffres importants concernant la conformité au RGPD présentés dans les médias. Par exemple, une enquête prévoit que les entreprises devront dépenser près d’un million de dollars pour la seule technologie, afin d’atteindre la conformité au RGPD. Ils devront également faire face à d’autres dépenses ; par exemple, l’embauche de responsables de la protection des données pourrait coûter cher en raison de la combinaison d’une pénurie de talents sur le marché et d’une forte demande.
Heureusement, de nombreux fournisseurs offrent des logiciels qui peuvent vous aider à vous conformer au RGPD pour beaucoup moins d’argent. Je vous recommande d’investir dans des logiciels plutôt que d’embaucher des professionnels de la sécurité qualifiés, car cela sera rapidement amorti. Mais n’achetez pas de solutions avant d’avoir évalué vos risques informatiques. Déterminez les exigences de conformité que vous pouvez satisfaire avec vos outils et processus actuels, et celles qui nécessitent des investissements supplémentaires. Évaluez vos risques et consacrez la plus grande partie de votre budget aux plus importants.
Mythe 6. Le RGPD implique des amendes énormes pour chaque erreur
Les amendes du RGPD sont en effet énormes : soit 2 % à 4 % du chiffre d’affaires annuel de l’entreprise, soit 10 à 20 millions d’euros. Mais il n’y a pas besoin de paniquer.
Considérez ceci : En vertu des lois actuelles sur la protection des données, le Bureau du Commissaire à l’Information peut imposer des amendes allant jusqu’à 500 000 livres aux entreprises – mais elles n’ont jamais imposé cette amende maximale. Il n’y a aucune raison de penser qu’ils vont changer leur approche avec le RGPD.
Les organismes de réglementation tiennent compte du fait que vous avez un plan de conformité crédible et coopèrent avec eux. Par conséquent, assurez-vous de pouvoir prouver que vous disposez de politiques et de procédures de sécurité efficaces. Démontrez comment vous avez suivi le plan de conformité, ce que vous avez fait et ce qui vous attend. Si vous le faites, il est peu probable que les autorités vous infligent une énorme amende si vous subissez un incident de sécurité, ou si vous échouez une partie d’un audit.
Mythe 7. Le but des auditeurs est de punir le commerce
La plupart des PME de l’UE n’ont jamais travaillé avec des auditeurs auparavant, car les normes réglementaires relatives aux données à caractère personnel n’ont jamais été obligatoires. Ils se sentent donc mal à l’aise face à leur nouvelle obligation de signaler à des étrangers leurs problèmes de cybersécurité.
Pour réduire ce stress, sachez ce que les auditeurs recherchent et préparez-vous. Ils veulent que vous puissiez expliquer les objectifs de votre stratégie de sécurité et connaître vos risques. Montrez-leur la preuve que vous pouvez contrôler l’activité de vos utilisateurs privilégiés. Assurez-vous de pouvoir répondre à leurs questions en temps opportun et de les aider à faire leur travail. Soyez prêt à travailler sur toutes les failles de sécurité qu’ils signalent ou que vous avez découvertes par vous-même.
Cela n’a aucun sens d’avoir peur des auditeurs ; au contraire, vous devez coopérer avec eux, car vous avez tous les deux le même objectif. Si vous coopérez, vous passerez plus facilement les audits de conformité. Vous bénéficierez également d’avantages supplémentaires. Premièrement, vous aurez une nouvelle perspective sur les problèmes de sécurité dans votre organisation, parce que les auditeurs ont une vision plus large et peuvent vous donner de précieuses recommandations. Deuxièmement, vous améliorerez vos compétences dans la gestion de vos processus de conformité.
Pour résumer
Au lieu de considérer le RGPD comme un fardeau que votre organisation doit supporter, considérez qu’il s’agit d’une occasion de porter votre sécurité de l’information à un tout autre niveau. Mon message est le suivant : Cesser de suivre les nouvelles concernant les exigences spécifiques du RGPD. Pensez plutôt à la façon dont vous pouvez rendre votre entreprise plus sûre et établir une relation de confiance avec vos clients en traitant leurs données avec respect. Si vous le faites, vous n’aurez pas à avoir peur du RGPD – ou de toute autre norme créée à l’avenir.
