7 choses à savoir quand on crée une politique de protection des données

La protection des données est un aspect qu’aucune entreprise ne doit prendre à la légère. Comme nous le lisons régulièrement dans la presse, des violations à grande échelle se produisent, même dans les plus grandes entreprises. Et les conséquences d'une défaillance dans ce domaine peuvent être graves, en termes de perte de clients, de dommages à la réputation d'une société et de retombées juridiques, à la fois au niveau des clients mécontents et des organismes de réglementation.

L'un des plus grands facteurs pour de nombreuses entreprises à l’heure actuelle quand il s’agit d'améliorer les politiques de protection des données est le RGPD européen dont le but est de définir des règles bien plus claires à propos des responsabilités des entreprises quand elles traitent les données personnelles des particuliers, y compris les informations des clients et des employés.

Bien que ce règlement vienne de l’Union européenne, il aura un impact mondial car toute entreprise qui détient des informations liées à un citoyen européen devra respecter les règles. Toutes les entreprises qui travaillent en Europe seront donc touchées. Ce règlement fixe les amendes maximales en cas de manquement grave à la protection des données à 20 millions d’euros ou quatre pour cent du chiffre d'affaires mondial d'une société (si ce chiffre est plus élevé). L’impact pourrait donc être énorme sur toute société coupable d'une violation.

À titre d’exemple, l’an dernier la société téléphonique britannique TalkTalk s’est vue imposer une amende par le régulateur local, l’Information Commissionner Office, d’un montant de 400 000 GBP suite à une violation qui a permis à des pirates d'accéder aux données des clients. C’était l’une des plus grosses amendes imposées à une entreprise pour une violation de données au Royaume-Uni, mais une analyse suggère que si les règles du RGPD avaient été en vigueur à cette date, l’amende aurait été de 59 millions de GBP.

La présence d'une politique de protection des données claires pour protéger l’entreprise des violations est donc essentielle. Mais quels sont les aspects que vous devez garder à l’esprit pour veiller à son application réussie ? Voici quelques-unes des principales questions auxquelles vous devrez répondre.

Qu’est-ce que c’est et pourquoi en avez-vous besoin ?

La première question que de nombreux responsables d’entreprise peuvent poser à leur service informatique est « pourquoi avons-nous besoin d'une politique formalisée ? ». Ce n’est pas une exigence légale selon le DPA, mais il y a plusieurs raisons pour lesquelles cette documentation est très importante.

En effet, outre la présentation des principales pratiques de sécurité, une bonne politique de protection des données explique en détail comment une entreprise doit réagir en cas d’incident, y compris comment contacter le personnel et les clients et répondre à leurs questions, ainsi que les étapes d’atténuation de la couverture négative dans les médias. Elle peut également limiter votre responsabilité juridique en démontrant que vous avez pris des mesures raisonnables pour éviter une violation.

Quand devez-vous faire référence à vos politiques ?

Votre entreprise devra faire référence à sa politique de protection des données dans plusieurs situations. En voici les principales :

• Informer le personnel et les clients de l’utilisation de leurs données personnelles.
• Éduquer les employés à propos de leurs responsabilités quand ils gèrent des données.
• Assurer la conformité aux exigences légales.

Quels types de données doivent être couverts ?

La politique doit expliquer de manière détaillée quels sont les types de données personnelles qui seront recueillis et comment ces données seront gérées. Pour assurer la conformité, la collecte des données et leur rétention doivent être réduits au minimum, mais même dans ces circonstances, la plupart des entreprises auront certainement une grande quantité de données personnelles couvertes par la réglementation. Voici quelques exemples, dont la liste n'est pas exhaustive :

• Les informations personnellement identifiables (noms, adresses et numéros de téléphone du personnel et des clients)
• Données personnelles sensibles (informations sur les convictions politiques et religieuses d'une personne, son origine ethnique, ses problèmes de santé, son casier judiciaire etc.)
• Données biographiques/actions (journaux d’opérations, historiques de performance, historique d'achats etc.)

Les politiques de protection des données doivent identifier les types exacts d’informations que possède une entreprise

Qui doit prendre la responsabilité des données ?

Un autre impact du RGPD ayant un impact sur les politiques est l’exigence de désigner un délégué à la protection des données (DPO). Cette nomination est obligatoire pour les autorités publiques et les entreprises où les activités principales du responsable des données ou du sous-traitant mettent en jeu « la surveillance régulière et systématique des personnes concernées à grande échelle ».

Ce délégué est responsable de la surveillance de la totalité de la stratégie de protection des données d'une organisation, y compris l’éducation du personnel et la réalisation d’audits pour assurer la conformité, et doit jouer le rôle de point de contact entre une entreprise et les régulateurs. Tout cela doit être présenté en détail dans la politique.

Comment les données seront-elles utilisées dans l’entreprise ?

Quand il s'agit de communiquer avec les clients, l’une des questions principales à laquelle la politique devra répondre est de savoir exactement comment leurs données personnelles seront utilisées. Les règlements imposent des limites claires à la mesure dans laquelle les entreprises peuvent gérer les données. Celles-ci doivent être utilisées de manière équitable et être obtenues uniquement à des fins spécifiques, qui doivent être mentionnées clairement dans la politique. Les données doivent également être exactes, pertinentes et effacées quand elles ne sont plus nécessaires.

Cette section d'une politique de protection des données doit également expliquer les droits qu’ont les utilisateurs d'accéder à leurs propres données, ainsi que les procédures qui doivent être respectées quand une telle demande est formulée.

Que faire en cas de violation

Même si une politique de protection des données bien rédigée peut faire beaucoup pour réduire le risque de violation d’une entreprise, elle ne peut pas prévoir toutes les situations possibles. La section qui détaille les mesures qui doivent être prises en cas de violation est donc cruciale.

Quand le RGPD entrera en vigueur, la notification des parties pertinentes revêtira une importance bien plus grande. Dans le passé, de nombreuses sociétés ont été critiquées pour les longs délais entre la découverte d'une violation et son signalement aux clients et régulateurs. Mais avec le RGPD, ces situations ne seront plus de simples mauvaises pratiques, car les responsables des données devront signaler les violations dans les 72 heures qui suivent leur identification. Des procédures couvrant ces situations doivent donc être incluses dans toute politique de protection des données et spécifier quand une violation de données doit être signalée et comment le faire.

Garder votre politique accessible et à jour

Une politique de protection des données est totalement inutile si elle est simplement rédigée afin de pouvoir cocher des cases avant de l'abandonner dans un tiroir d’où elle ne ressortira jamais. Ce document doit être compréhensible et facilement disponible pour que les employés puissent le consulter quand ils ont besoin de conseils, et il doit faire partie de votre programme de prise en charge.

Il doit aussi être revu régulièrement pour tenir compte des modifications du paysage réglementaire ou du fonctionnement de l’entreprise. Chaque fois qu’une organisation modifie ses procédures liées à sa manière d'utiliser les données, la politique de protection doit être examinée et mise à jour.