La protection de votre réputation selon le RGPD

Quand on parle du RGPD, ce sont les amendes qui attirent le plus l'attention. En vérité, 4% du chiffre d'affaires annuel mondial semble assez effrayant —et « la peur, l’incertitude et le doute » se vendent bien. Mais si nous réfléchissons au principal risque de ne pas respecter la nouvelle réglementation, la conclusion logique est que c'est votre réputation qui est en jeu. Alors, comment pouvez-vous préserver la réputation de votre organisation en ce qui concerne la protection des données personnelles ?

Les plus grandes entreprises deviennent régulièrement le centre d'attention en matière d'atteinte à la vie privée : la violation de données de Yahoo en 2014, qui n'a été rendue publique qu'en 2016 ; le scandale de Facebook/Cambridge Analytica, qui combine violation et manipulation politique et qui a provoqué une attaque publicitaire au début de 2018 ; la violation de LinkedIn qui a révélé plus de 100 millions de noms d'utilisateur et de mots de passe en 2012. Tous ces cas sont des exemples d'utilisation abusive de données personnelles contre-productive pour des organisations qui auraient prétendument causé ou tenté de les dissimuler.

Nous recevons souvent des commentaires sur notre respect de la vie privée. Certaines sont clairement fausses (par exemple, ceux qui disent que la case à cocher de la newsletter est activée par défaut, même si ce n'est pas le cas), mais d'autres commentaires concernent des points que nous souhaitons aborder plus en détail, tels que la technologie de suivi utilisée par défaut dans MailChimp. Nous résumons ici quelques directives que nous essayons de respecter et qui pourraient également être utiles à votre organisation.

Transparence

Oui, selon le RGPD, la conservation des données « aussi longtemps que nécessaire aux fins pour lesquelles elles ont été collectées » constitue une description valide de votre politique de conservation des données. Cependant, nous sommes arrivés à la conclusion que nous pouvons être plus précis et ajouterons donc plus d'informations concrètes à notre politique de confidentialité. Cela permettra aux personnes concernées (clients, employés, etc.) de comprendre les politiques de traitement des données, qui doivent être claires et transparentes, conformément à l'article 12.

En général, éliminer les commentaires des utilisateurs au lieu d’écrire une réponse est considéré comme un péché capital. Je dois avouer que j'ai envisagé de supprimer les commentaires sur LinkedIn qui sont clairement faux, mais en principe, nous avons décidé de ne pas le faire et, habituellement, nous répondons à tous. Actuellement, la politique utilisée par de nombreuses entreprises consiste à rester toujours poli, prendre en compte des faits et remercier les commentaires positifs et négatifs. Les réponses aux avis des hôtels et des restaurants sur TripAdvisor sont un bon exemple du ton juste.

Pragmatisme

Notre premier site Web public n'avait pas de cookies. Aucun. Nous ne savions même pas combien de visites le site recevait —seulement si quelqu'un remplissait l'un des formulaires, nous pouvions faire un suivi. Même si c’est formidable d’avoir un site Web extrêmement respectueux de la vie privée, il est également tout à fait contre-productif pour l’entreprise. Ç'est pour ça que nous avons décidé que nous devions en savoir plus et nous avons commencé à utiliser un logiciel d'analyse des visites du site.

D'autre part, nous évaluons minutieusement les outils de conformité RGPD avant de les utiliser. Par exemple, nous avons rejeté un excellent outil de chat car il collecte toutes sortes d’informations sur les utilisateurs. Au lieu de cela, nous utilisons MailChimp —bien qu'ils soient « permissifs » avec les technologies de suivi— parce que c’est une norme de facto, et nous continuons à travailler dans la communication sur ce sujet. Nous envisageons actuellement d’utiliser les technologies de suivi des visites pour le reciblage (retargeting). Voulons-nous cela ? Et si oui, comment cela affectera-t-il la vie privée de l'utilisateur ? Dans chaque décision, nous devons maintenir l'équilibre entre nos objectifs commerciaux et les moyens de protéger la confidentialité des données des utilisateurs qui visitent notre site Web.

Préparation

Attendre la première violation de données ou la première demande d'une personne concernée n’est pas la stratégie la plus appropriée. N'oubliez pas que, conformément à l'article 30, votre organisation a besoin d'un aperçu de activités de traitement pour respecter la plupart des droits et obligations imposés dans le règlement. Ce registre est la colonne vertébrale de votre gestion de la vie privée. Par conséquent, si vous disposez de ce registre et d'un plan d'action en cas de violation de données (voir notre livre blanc ici), vous pouvez prendre les mesures appropriées si nécessaire.

De plus, n'oubliez pas que les demandes des personnes concernées peuvent rapidement devenir l’analogie d’une « attaque par déni de service distribuée ». Si vous avez des centaines de milliers de clients et qu'une petite partie d'entre eux vous demande de fournir les données personnelles que vous avez conservées, cela peut constituer un grave problème pour votre organisation. Dans ce cas, le registre de l'article 30 sera très utile, mais cela ne vous dispensera pas de la nécessité de collecter des données réelles pour des personnes réelles.

Accessibilité  

Il est peu probable qu'une personne concernée qui fait confiance à l'organisation qui traite leurs données personnelles « dérange » l'organisation avec une demande. Une réponse rapide et transparente aux demandes que vous recevez réduira le risque « d'attaques » sur votre politique de confidentialité et votre conformité. Cependant, notez que si vous traitez des données personnelles (comme nous), vous serez la cible de critiques publiques. Et il n'y a pas de problème avec ça.

Laurens Mommers

COO PrivacyPerfect

rgpd guide gratuit