RGDP, le bilan un an après : 5 choses que nous avons apprises sur la mise en place d'un programme de confidentialité
Dernière modificationjanv. 2020 Lecture : 5 minutes
Vous vous souvenez quand le RGPD est entré en vigueur l'année dernière et que toutes les entreprises avec lesquelles vous aviez un jour été en contact ont décidé de vous envoyer un e-mail ?
Certaines ont demandé votre consentement, d'autres se sont contentées de vous envoyer un simple message. Le mieux informées, ou celles qui avaient bien pris en compte tous les conseils donnés, n'ont rien envoyé du tout, convaincues que leurs solides pratiques en matière de respect de la vie privée appliquées dans la période précédant le RGPD justifiaient ce non-envoi.
À l'époque, nous avions partagé les détails de notre programme de confidentialité. Un an plus tard, nous avons pu le mettre à l'épreuve. Nous avons découvert ce qui fonctionne et ce qui ne fonctionne pas. Les directives réglementaires, les événements ainsi que la mise en application nous ont permis de mieux comprendre ce qui est efficace pour le RGPD.
Pourtant, depuis l'an dernier, tous les événements et tables rondes auxquels j'ai participé tournent inévitablement autour d'un seul et même sujet...
Comment gérer la confidentialité à grande échelle ?
Comment se conformer à chacun des éléments prescriptifs du RGPD tout en respectant les principes de la réglementation, et ce, sans rajouter de distractions inutiles à votre activité principale ?
En résumé : comment s'assurer de prendre en compte la vie privée dès la conception (« privacy by design ») ? Les experts en confidentialité ne sont pas des plus nombreux et peu d'entreprises peuvent se permettre d'en embaucher assez pour répondre à toutes les exigences du RGPD. De plus, si les programmes de confidentialité sont conçus séparément des processus opérationnels normaux, il est impossible de le faire évoluer avec l'entreprise.
Dans cet esprit, voici cinq choses que nous avons apprises au cours de l'année passée concernant l'intégration de la confidentialité en entreprise.
1. Parlez la langue de votre entreprise
Tout le contraire de ce que nous avons fait à l'arrivée du RGPD. Pour nous assurer que notre registre des traitements était conforme au RGPD, nous avons préparé et envoyé des questionnaires d'un outil prêt à l'emploi avec toutes les questions auxquelles nous avions pensé à toutes nos équipes de traitement de données. Toutes sauf les bonnes.
« Pouvez-vous identifier une base légale de traitement pour cette activité ? », « Comment respectez-vous le principe de limitation du but pour cette activité ? »
C'est en nous penchant sur notre registre de conformité au RGPD que nous nous sommes rendu compte que nous avions tout faux. « Je ne suis pas sûr » était la réponse la plus fréquente à la plupart des questions !
Pour la version 2.0, nous avons adopté une approche différente et avons décidé de poser uniquement des questions auxquelles nous savions que nos équipes pouvaient répondre, telles que : À quelle fin utilisez-vous ces données ? De quelles données avez-vous besoin pour le faire ? Quels systèmes vous aident à réaliser cette tâche ? Grâce à ça, nous avons établi un registre clair, exploitable et facile à maintenir à jour.
2. Soyez là où les choses se passent
Convoquer un expert en confidentialité à chaque réunion est impossible. Nous ne sommes pas assez nombreux et même si nous pouvions être partout tout le temps, cela ralentirait toute la procédure.
Par conséquent, quasiment tous nos employés devront, à un moment donné, prendre des décisions en rapport avec la confidentialité... comme évaluer un nouveau produit, choisir un nouveau fournisseur ou expérimenter un nouveau modèle de données.
J'ai vu des programmes de confidentialité très bien conçus échouer simplement parce qu'ils n'ont pas été adoptés par les entreprises.
Lorsqu'on demande aux gens de faire quelque chose en dehors de leurs tâches quotidiennes, ils ont tendance à prendre la « voie de la moindre résistance ». Cela ne veut pas dire qu'ils ne veulent pas faire les choses bien. Cela signifie que même s'ils comprennent ce que nous leur demandons de faire (cf. le point 1), la procédure peut être plus complexe qu'il n'y paraît pour eux.
C'est pourquoi pour pouvoir fonctionner, nous devons nous assurer que les procédures de confidentialité sont solidaires de nos activités habituelles. Comme l'explique notre responsable des données : nous devons faire en sorte que les gens puissent faire ce qu'on leur demande aisément et nous assurer que ce sera très dur pour eux de mal faire. Ce qui nous amène à notre troisième point...
3. Automatisez autant que possible
Cette évolution du domaine de la confidentialité a vu l'émergence d'outil prêt à l'emploi permettant d'automatiser la conformité.
Cependant, beaucoup de ces outils fonctionnent de façon indépendante. Par exemple : un outil de gestion des contrats de traitement de données qui ne peut pas être rattaché à nos fonctions de passation des contrats fournisseurs ; un outil de suivi des requêtes d'accès inutilisable par nos services d'Assistance ou encore un outil d'analyse d'impact sur la protection des données en dehors du cycle de vie du développement du produit.
Problème : lorsque ce type d'outils ne s'intègre pas dans vos activités, vos employés sont forcés de travailler à l'aveugle, ce qui signifie parfois faire mal les choses.
Pour bien faire, nous pensons qu'il faut commencer par vous pencher sur votre entreprise et ses besoins : À quoi ressemble votre quotidien ? Quels documents créez-vous, quels outils utilisez-vous, quelles sont vos étapes de prise de décision ?
Avec ces informations, vous pourrez vous poser les bonnes questions au bon moment et serez en mesure de faire remonter vos questions et besoins à l'équipe de protection de la vie privée si nécessaire.
Par exemple, lorsque nos équipes de données créent une nouvelle fonctionnalité, notre procédure leur demande automatiquement d'identifier un objectif commercial, il est impossible de lancer la création de cette fonctionnalité. Si l'objectif n'est pas répertorié dans le registre, cela signifie qu'il faut réexaminer la confidentialité afin d'intégrer ce nouveau type d'objectif.
Cette procédure nous fournit également une piste d'audit que nous pouvons tester pour nous assurer que les bonnes décisions sont prises.
4. Méfiez-vous des remèdes miracle
L'automatisation des procédures de confidentialité peut finir par vous nuire. Certaines entreprises utilisent des listes de contrôle pour garantir l'évolutivité de leurs programmes de confidentialité. Mais cette approche peut se retourner contre vous.
Mal appliquées, les couches de bureaucratie privent les employés de leur pouvoir, les empêchent d'être responsables de leur impact sur la vie privée et génèrent des risques inattendus (« cela ne figurait pas sur la liste de contrôle donc ça ne peut pas être un problème »).
Nous avons veillé à ce que nos procédures soient simples et avons mis l’accent sur la formation et l’orientation de nos équipes.
Par exemple, nous avons créé une formation pour nos responsables Produit et Fonction. Cette formation leur fournit les ressources nécessaires pour travailler à l’intégration de la confidentialité dans nos produits de bout en bout.
Parmi toutes ces ressources, l’une d’entre elles a été particulièrement utile dans la définition de produits et l’évaluation de l’impact sur la confidentialité : une taxonomie sur-mesure des risques de confidentialité qui permet d’orienter les discussions sur la réduction des conséquences non intentionnelles ou illégales de l’utilisation de données à caractère personnel.
5. Écoutez ce que vos programmes vous disent
Le RGPD permet aux personnes concernées d'exercer leurs droits auprès du contrôleur des données. Les requêtes d'accès et de suppression sont les deux requêtes que nous recevons le plus souvent.
Afin de ne pas surcharger notre équipe de confidentialité, nous avons décidé qu’elles seraient d’abord traitées par nos agents du service clientèle dans leurs propres outils (macros Zendesk et Centre d’assistance) avant d’être envoyées dans notre logiciel de demande de droits pour en assurer le suivi.
Nous sommes fiers de dire que cela a très bien fonctionné. Premièrement, nous ne traitons pas ces demandes de façon isolée. Envoyer d’abord ces requêtes à l’Assistance permet leur traitement par les personnes les mieux formées pour identifier et résoudre les problèmes sous-jacents (grâce aux formations et ressources fournies par l'équipe de protection de la vie privée).
Deuxièmement, notre équipe d’Assistance possède une grande expérience des métriques et des indicateurs de performance clés. L'utilisation de leurs outils nous permet de suivre de près les requêtes d’accès, ainsi que d'autres plaintes, questions et incidents.
La rapidité et l’efficacité avec lesquelles nous pouvons traiter une requête d’accès ou de suppression nous en dit long sur la santé de notre programme de confidentialité. D’ailleurs, le suivi de ces métriques est l’un de nos principaux indicateurs de risque.
Nous suivons également les taux de désabonnement marketing, les analyses de risque des fournisseurs ainsi que le temps nécessaire pour répondre aux demandes juridiques liées aux données.
Ainsi, nous comblons nos lacunes, nous améliorons progressivement notre programme et nous nous conformons au principe de responsabilité, le concept phare du RGPD.
Et vous, quels conseils avez-vous pour mettre en place un programme de confidentialité ? Rejoignez-moi sur LinkedIn pour continuer cette conversation.
GoCardless simplifie la collecte de paiements récurrents
Gagnez du temps en automatisant vos paiements récurrents en toute sérénité.