Réglementations & Obligations

6 conseils clés à prendre en compte pour le traitement des données des clients

Temps de lecture: 9 minutes

Près de 92 % des entreprises utilisent une base de données pour stocker des informations sur les clients ou les prospects. Vous savez probablement déjà que le système que vous utilisez pour stocker toutes ces données doit être conforme au RGPD. Voici quelques-uns des domaines clés que vous pouvez améliorer pour protéger les données de manière optimale.

1. Le RGPD n'est pas votre ennemi

Depuis l’entrée en vigueur du RGPD, les infractions liées à celui-ci ont mis la confiance des consommateurs à rude épreuve. Le nombre d’amendes que certaines entreprises ont soudainement dû payer a effrayé de nombreuses entreprises. Cependant, la confiance reste le maître mot. Le RGPD n’est pas un fardeau administratif de plus pour votre entreprise : il vous aide en fait à établir une relation de confiance avec vos clients.

Ainsi, au lieu d’avoir peur, essayez plutôt de l’envisager comme un moyen d’amener vos clients à vous confier leurs données voire à éviter qu’ils en viennent à abandonner complètement votre entreprise. Par exemple, vous pouvez commencer par créer des portails de confidentialité dans lesquels vos clients peuvent accéder à leurs données et donner leur accord pour recevoir les services personnalisés qu’ils jugent utiles.

Vous pouvez également relever le défi de rendre votre déclaration de confidentialité plus lisible, car le nombre de personnes qui lisent les déclarations de confidentialité dans leur intégralité est encore assez faible. Selon une enquête réalisée en 2019 par la Commission européenne auprès de 27 000 personnes, seulement 13 % lisent les déclarations de confidentialité jusqu’au bout. La plupart des gens abandonnent la lecture parce que ces déclarations sont trop longues ou trop difficiles à comprendre. Toutes les entreprises en ligne qui se soucient de leur identité numérique devraient fournir des déclarations de confidentialité concises, transparentes et facilement compréhensibles par tous les utilisateurs.

2. Sensibilisez tous vos collaborateurs à la notion de "données personnelles"

Ce terme est encore mal compris par les entreprises. Il est donc essentiel de définir correctement ce que sont les informations personnelles.

Aujourd’hui, nous laissons tous des traces et des données de notre vie personnelle en parcourant Internet, à la façon d’un petit Poucet digital. Ainsi, n’importe qui peut utiliser ces indices pour nous surveiller. Les informations personnelles identifiables (IPI) ne sont pas seulement des IBAN, des identifiants, des emails et des coordonnées. Elles comprennent également toute information liée à une personne physique identifiable, y compris les messages sur les réseaux sociaux, les photos de profil et les adresses IP des appareils.

Lors d’un entretien, l’expert en informatique Jaroslav Oster a souligné comment la compréhension de ces nuances devrait faire partie d’une formation efficace sur le RGPD. « Dans les petites et moyennes entreprises, on commence progressivement à comprendre que la sécurité de l’information ne peut se construire sans une formation adéquate des collaborateurs, qui sont les principaux utilisateurs des systèmes d’information d’une entreprise, » a-t-il expliqué.

3. Choisissez un bon DPD

Si votre activité implique un suivi régulier et systématique des personnes concernées ou le traitement d’un grand nombre de catégories spéciales de données dans le cadre de vos principales activités, vous devez désigner un délégué à la protection des données (DPD). La principale responsabilité du DPD est de veiller à ce que tous les processus touchant aux données des clients soient conformes au RGPD. Cela inclut les données de votre personnel, de vos fournisseurs et de toute autre personne avec laquelle votre entreprise est en contact.

Mais comment en choisir un ? Un DPD doit comprendre les implications pratiques des réglementations sur la confidentialité des données, savoir comment évaluer les niveaux de risque, et proposer des solutions appropriées à la direction. Par conséquent, le DPD doit également posséder des compétences poussées en matière de persuasion et de négociation pour communiquer efficacement.

4. Conservez toutes les preuves de votre conformité 

Tôt ou tard, vous pourriez être amené à expliquer comment votre entreprise traite les données. Utilisez-vous vraiment les données des clients dans le contexte dans lequel celles-ci ont été collectées ? Pouvez-vous le prouver à un juge ?

Vous devez garder la trace de tous les points de contact, de la collecte jusqu’à l’utilisation des données. Essayez de mettre en œuvre des technologies et des processus de prévention des fuites de données afin d’aider votre entreprise à la fois à rapprocher les informations entre les systèmes et les processus mais également pour mettre en œuvre des audits plus robustes permettant le suivi des données. N’oubliez pas les données que vous stockez hors ligne. Ce paramètre est particulièrement important dans le cas d’une crise comme celle de la COVID-10 car cela affecte forcément la façon dont vous gérez votre entreprise.

5. La conformité au RGPD concerne tous les départements de votre entreprise

Déléguer la responsabilité de la conformité à votre service informatique uniquement n’est pas la bonne solution. Le RGPD affecte de nombreux domaines très différents de la société et tous vos collaborateurs devraient recevoir une formation afin de comprendre comment le RGPD les concerne, eux mais aussi vos clients.

Si vous disposez de votre propre équipe informatique, elle sera sûrement en mesure de gérer certaines des étapes clés qui permettent une meilleure conformité au RGPD. Mais si votre équipe informatique doit tout gérer, elle risque d’être débordée. Votre personnel informatique doit également veiller à l’application des correctifs et à la surveillance des menaces, tout en étant prête à réagir à tout incident de sécurité. Un comportement responsable des collaborateurs contribuera grandement à soulager la charge du personnel informatique.

6. Soyez vigilant à la diffusion accidentelle d'informations client sur Internet

De nombreux enseignements surprenants ont pu être tirés en regardant de plus près les fuites de données. Les informations des clients sont souvent considérées comme étant l’un des types de données les plus sensibles, principalement dans les secteurs de la santé et de la finance. Pourtant, les entreprises restent également victimes de fuites de données sensibles contenant notamment des informations sur les clients, comme les contrats et les identifiants.

Cela se produit souvent en raison d’une négligence. Ces informations sont parfois également hébergées sur des serveurs de partage de fichiers gratuits où tout le monde peut les télécharger librement et les données exposées peuvent même être vendues sur les réseaux du Dark Web. Selon le RGPD, vos clients ont le droit de savoir quelles données les concernant sont collectées et de réclamer la suppression des enregistrements de celles-ci. Il s’avère donc nécessaire de prendre des mesures de sécurité suffisantes pour protéger ces informations contre toute fuite.

Vous rencontrez des difficultés à vous mettre en conformité avec le RGPD ? Téléchargez notre guide de survie

 
Evaluation 30 jours chiffrement ESET Endpoint Encryption
 

 
L'épidémie de COVID-19 a-t-elle eu des conséquences partiulières sur le RGPD ?
Oui. 
Le président du Conseil européen de la protection des données (EDPB) a publié une déclaration au sujet du RGPD : il y est indiqué que les employeurs sont autorisés à traiter des informations personnelles dans le contexte d’épidémies, telles que la situation actuelle de COVID-19. Le consentement de la personne concernée n’est pas requis à condition que les employeurs puissent justifier d’un motif juridique approprié : santé, intérêt public ou la protection d’intérêts dits “vitaux”.
Par exemple, les employeurs peuvent exiger des informations sur la santé de leurs collaborateurs afin de s’assurer qu’ils peuvent remplir leurs fonctions. Toute information concernant un employé ayant contracté la COVID-19, par exemple, ne doit être communiquée aux autres membres du personnel que si cela est nécessaire, par exemple, pour empêcher une éventuelle propagation. Les collaborateurs doivent être informés de la communication de leurs informations et savoir auprès de qui celles-ci seront exposées. Tout traitement de données relatives à la santé doit être effectué conformément aux lois nationales.
Il est nécessaire de garder en tête que les lois sur la protection des données s’appliquent systématiquement à toute information personnelle qu’une entreprise utilise pour le suivi médical ou à d’autres fins. Par conséquent, toutes les informations recueillies sur la santé nécessitent un degré de protection plus élevé. Les individus doivent savoir clairement pourquoi une entreprise collecte leurs informations et comment celles-ci sont utilisées, avec l’assurance que ces dernières ne seront pas exploitées à des fins commerciales.