Août 2014 Comment protéger vos données Des pistes concrètes pour aider les entreprises à respecter la législation en matière de protection des données whitepaper_data_fr_new.indd 1 02/12/14 14:04
Éditorial Enno Ebels, vice-président directeur, Gestion des informations clients, Neopost À l heure de l ère numérique où le devenir des informations personnelles préoccupe de plus en plus leurs propriétaires, la protection des données devient une priorité pour les entreprises. Les révélations d Edward Snowden (relatives à l Agence de sécurité nationale américaine et à ses activités de surveillance) et la polémique qui s en est suivie prouvent l importance que revêt désormais la protection de la vie privée aux yeux des citoyens et des entreprises du monde entier. En s assurant de l exactitude des données client et en effectuant un suivi de qui modifie quelles données et à quel moment, les entreprises peuvent davantage rentabiliser les communications. Face au volume considérable d informations désormais collectées sur les individus, des règles doivent être instaurées afin que l ensemble des métadonnées ainsi regroupées depuis diverses sources puisse être gardé sous contrôle. Cette situation est l occasion pour les entreprises de revoir leur modèle de gestion et de décider de l utilisation qu elles doivent faire de ces données pour améliorer leurs produits et leurs services. Je considère les données comme un actif et, bien qu il n existe pas de règles claires permettant d en estimer la valeur d un point de vue comptable, elles devraient être inscrites au bilan. La nouvelle législation européenne en matière de protection des données actuellement en préparation offrira des opportunités aux entreprises qui traitent les données en tant qu actifs et, je précise, en tant qu actifs de valeur. Cette réglementation accordera davantage d importance à la propriété des données et à la nécessité d une gouvernance, afin de s assurer du traitement correct de ces données et de leur actualisation. Dans le domaine de la qualité des données et de la gestion des données de référence, la première étape est la collecte. Vient ensuite l exploitation de ces données par les entreprises, par exemple, l envoi d une lettre, la livraison d un colis ou la publication d un commentaire sur un réseau social. Toutefois, la mobilité des gens, l évolution des produits et l émergence constante de nouvelles informations de toutes sortes rendent l actualisation de ces données nécessaire. En d autres termes, les entreprises doivent s assurer de disposer d un vrai processus de gestion des données, à l instar de leurs autres actifs. En s assurant de l exactitude des données client et en effectuant un suivi de qui modifie quelles données et à quel moment, les entreprises peuvent davantage rentabiliser les communications avec leurs clients et se conformer aux différentes règles et réglementations en vigueur. Des bases de données enrichies et mieux gérées permettent aux entreprises de créer une «vue client unique» contenant l ensemble des informations critiques, comme des coordonnées correctes, les habitudes de consommation, les différents supports de diffusion et les points de contact. Je suis convaincu que les données vont devenir un allié précieux, et que, pour peu qu elles apprennent à en tirer parti et à les protéger comme il se doit, les entreprises pourront faire encore plus pour leurs clients. 2 whitepaper_data_fr_new.indd 2 02/12/14 14:04
Apprenez à connaître vos clients La protection des données vise essentiellement à assurer le respect des droits des personnes à la vie privée ; or, la nouvelle réglementation en matière de protection des données, qui fait actuellement l objet d un examen final par le Parlement européen, offrira aux entreprises l élan nécessaire pour gérer leurs données de manière plus efficace. Mais quelles sont les mesures à prendre pour vous assurer que votre entreprise se conforme à la législation sur la protection des données tout en améliorant la satisfaction des clients? Instaurer des relations responsables avec les clients L instauration de relations fructueuses avec la clientèle implique de respecter la tranquillité des individus et de communiquer avec les clients qui le souhaitent par le biais du canal choisi par ces derniers (service postal, messagerie électronique ou diffusion via différents supports). Si vous souhaitez utiliser des données personnelles à des fins de marketing par voie postale, vous êtes tenu d en informer explicitement vos clients ou prospects tout en leur permettant de s opposer à ce type d exploitation de leurs informations. Si vous collectez vous-même ces données personnelles, vous devez offrir cette possibilité à vos clients au moment du recueil des informations, par exemple au moyen d une case à cocher sur un formulaire. Si vous avez obtenu les données par l intermédiaire d un tiers, le droit de refuser les envois de marketing direct doit être accordé aux clients avant tout envoi de ce type. Vous ne pouvez utiliser les coordonnées des clients à des fins de marketing électronique (SMS, messages vocaux, images publicitaires, messages multimédias et courriers électroniques) que dans les cas suivants : Le produit ou le service dont vous faites la promotion est semblable à celui que vous avez vendu au client au moment où ce dernier vous a communiqué ses coordonnées. Vous avez offert au client la possibilité de s opposer facilement et gratuitement à l utilisation de ses coordonnées par votre entreprise. Chaque fois que vous envoyez un message promotionnel, vous accordez au client le droit de refuser tout envoi ultérieur de votre part. L envoi de messages promotionnels ne doit pas se prolonger plus d un an après l achat initial d un produit ou service similaire par le client. Les entreprises sont donc tenues de gérer avec le plus grand soin l ensemble des données personnelles qu elles détiennent, d améliorer la qualité des informations et de prendre les mesures qui s imposent pour se conformer à la législation en matière de protection des données. 3 whitepaper_data_fr_new.indd 3 02/12/14 14:04
En quoi consiste la législation sur la protection des données? Comment protéger vos données En Europe La loi Data Protection Act (adoptée au Royaume-Uni en 1998) vise à offrir aux individus un moyen de contrôle sur les informations qui les concernent. Sous sa forme actuelle, la législation permet aux citoyens d accéder à leurs données personnelles, et notamment à toutes les informations détenues par les entreprises à leur sujet. Du fait du caractère confidentiel d une grande partie de ces données, leur exploitation par des personnes mal intentionnées constituerait une violation des libertés civiles. La législation de 1998 était destinée à aligner la loi britannique sur la Directive relative à la protection des données arrêtée par l Union européenne en 1995, Aux États-Unis qui imposait aux États membres de protéger les droits et les libertés des personnes physiques, et notamment le droit à la vie privée des individus à l égard du traitement de données à caractère personnel. Les informations étant fréquemment conservées simultanément dans différents pays, les autres nations de l Union européenne ont adopté des lois similaires. À présent, la Commission européenne travaille sur un projet visant à regrouper toutes les directives communautaires en matière de protection des données au sein d une seule et même loi, baptisée General Data Protection Regulation (GDPR). L un des aspects réellement significatifs de ce projet de loi réside dans sa décision d étendre la législation communautaire aux entreprises non européennes qui commercialisent leurs produits au sein de l Union européenne. La date d entrée en vigueur de cette proposition de loi n a pas encore été confirmée. Toutefois, le Parlement européen souhaite qu elle soit adoptée d ici 2015. Bien que certains arguments soient avancés dans le but de retarder cette législation afin de garantir que tous ses aspects soient discutés en profondeur, l objectif visé est la mise en œuvre de la réglementation en Europe d ici 2017/2018. Les lois en vigueur aux États-Unis en matière de protection des données sont les suivantes : HIPAA The Federal Health Insurance Portability and Accountability Act (1996) Cette législation assure la protection des données relatives à la santé des personnes. Elle spécifie qui peut accéder aux informations de santé d un individu. Cette loi porte sur les dossiers des prestataires de soins médicaux, sur les données informatisées des institutions d assurance maladie, sur les informations de facturation et sur les conversations entre médecins et autres professionnels de la santé au sujet des soins et des traitements des patients. Planned for FACTA The Fair and Accurate Credit Transaction Act (2003) Cette législation vise à protéger les informations de crédit des consommateurs contre les risques de vol de données. Cette loi stipule que les reçus de cartes de crédit ou de débit doivent uniquement présenter les cinq derniers chiffres du numéro de carte d un client ; toutefois, cette réglementation ne s applique pas aux reçus rédigés à la main. La dernière vague de protestations ayant secoué les États-Unis dans le domaine de la protection des données concernait le mouvement «Do Not Track» (Ne pas tracer), qui s oppose expressément au pistage des activités en ligne des internautes dans le but de créer des profils de consommateurs. Une loi «Do Not Track» a ainsi été proposée début 2013, certaines personnes estimant que la législation constitue le seul moyen d aider les individus à garder le contrôle de leurs données. Si cette loi est adoptée, elle permettra aux consommateurs de s opposer au suivi de leur activité en ligne. À l heure actuelle, un consensus grandissant s établit autour de certains principes communs aux lois européennes et américaines en matière de protection des données, et l Union européenne est considérée comme un cadre de référence. En outre, les États-Unis manifestent à présent une réelle tendance au renforcement des lois sur la vie privée au niveau des États, ainsi qu un élan au niveau fédéral en faveur d une clarification de ces lois. Le projet de réglementation de l Union européenne aura une incidence certaine sur les États-Unis, puisque les entreprises américaines se livrant au traitement de données concernant des citoyens européens seront tenues de s y conformer. EU General Data Protection Regulation (GDPR) EU European Union Data Protection Directive 2015 1998 1995 UK Data Protection Act 4 whitepaper_data_fr_new.indd 4 02/12/14 14:04
Comment se conformer à la législation? Les entreprises et les professionnels qui ont besoin de stocker certaines données personnelles concernant leurs clients dans le cadre de leur activité sont tenus de se conformer à la législation. La plupart des entreprises qui procèdent au traitement de données clients sont également visées par les exigences de la loi Data Protection Act. Or, cette loi sur la protection des données peut se révéler complexe et difficile à interpréter. Toutefois, elle repose sur huit principes clés auxquels les entreprises sont dans l obligation d adhérer. 8 règles à respecter pour se conformer à la législation européenne en vigueur 1. Obtenir et traiter les informations loyalement et légalement Exemple : Les détails de rémunération d un employé sont obtenus de manière loyale et licite par l administration fiscale s ils sont recueillis auprès d un employeur légalement tenu de fournir ces informations, que ce soit avec ou sans le consentement de l employé et à l insu ou non de ce dernier. 2. Conserver uniquement les informations pour une ou plusieurs finalités déterminées, explicites et légitimes Exemple : Un club d échecs à but non lucratif utilise uniquement les données personnelles de ses membres pour organiser un championnat d échecs. Le club n est pas tenu d en avertir ses adhérents au préalable, car la raison pour laquelle il traite ces informations est évidente. Dans ce cas précis, la finalité déterminée du traitement des données personnelles correspond à l organisation du championnat d échecs. 3. Garantir le caractère adéquat, utile et non excessif des données Exemple : Une agence de recouvrement des créances est engagée pour rechercher un débiteur spécifique. Elle commence par collecter des informations sur différentes personnes portant le même nom que ce débiteur, puis écarte certaines de ces personnes à mesure que son enquête progresse. L agence doit alors supprimer la plupart des données personnelles de ces individus, en ne gardant que le minimum de données nécessaires à l établissement d un dossier de base sur chaque personne exclue au cours de l enquête. Il est légitime que l agence conserve cette petite quantité d informations afin d éviter de recontacter les personnes en question au sujet de créances qui ne les concernent pas. 4. Conserver les informations exactes, complètes et à jour Exemple : Un journaliste dresse le portrait d un personnage public. Ce portrait fait notamment état de rumeurs circulant sur Internet au sujet d une arrestation de la personne concernée sur la base de soupçons de conduite dangereuse. Si le journaliste indique que la personne a été arrêtée, sans émettre de réserve, il présente cet événement comme un fait avéré. Toutefois, si le journaliste précise explicitement qu il rapporte des rumeurs, il garantit l exactitude de son article, car il n affirme pas que la personne a été arrêtée pour cette infraction. 5. Ne pas garder les informations plus longtemps que nécessaire Exemple : Une banque conserve des données personnelles concernant ses clients. Ces informations comprennent notamment l adresse et la date de naissance des clients, ainsi que le nom de jeune fille de leur mère. La banque utilise ces informations dans le cadre de ses procédures de sécurité. Il est légitime que la banque garde ces données tant que le client détient un compte dans l établissement. Même une fois le compte fermé, la banque peut avoir besoin de conserver certaines de ces informations pour des raisons juridiques ou opérationnelles. 6. Fournir à la demande des individus une copie des données personnelles les concernant Exemple : Une personne demande à consulter ses données personnelles. Lorsque vous préparez votre réponse, vous remarquez que de nombreuses informations sont présentées sous forme codée. Par exemple, la participation de la personne à une session de formation spécifique est indiquée sous la forme «A», tandis que son absence à une autre session est signalée par la lettre «M». En outre, certaines informations correspondent à des notes manuscrites difficilement lisibles. Ces informations se révèlent donc incompréhensibles pour toute personne extérieure ne disposant pas des clés de codage des données utilisées par l entreprise. Dans ce cas précis, la loi sur la protection des données vous impose d expliquer la signification des informations codées. 7. Stocker les données en lieu sûr Exemple : Une entreprise conserve des données personnelles extrêmement sensibles ou confidentielles (telles que des informations sur la santé ou les finances de ses clients) dont l exploitation par des personnes mal intentionnées risquerait de causer des torts ou des préjudices considérables aux clients concernés. L entreprise doit alors prendre à l égard de ces informations des mesures de sécurité axées sur les menaces potentielles qui pèsent sur les données ou sur les systèmes d information qu elle utilise. 8. Ne pas transférer les données hors de l espace économique européen, à moins d une garantie de protection adéquate de la part du pays ou du territoire concernés Exemple : Une multinationale communique une liste de postes téléphoniques internes à ses filiales implantées à l étranger. Du fait de la nature de ces informations, il est peu probable que l obtention de cette liste par une source non autorisée puisse causer des torts importants aux personnes concernées. Il est donc raisonnable de supposer que ces données font l objet d une protection adéquate. 5 whitepaper_data_fr_new.indd 5 02/12/14 14:04
Comment se préparer à la législation européenne à venir? Définissez vos processus et comprenez-les Pour l essentiel, les principes de protection des données resteront sensiblement les mêmes. Toutefois, cette législation introduira certains nouveaux droits et imposera de nouvelles responsabilités aux entreprises contrôlant et traitant des données. Les mesures à prendre sont probablement déjà appliquées par les entreprises, mais de façon non structurée. La nouvelle législation permettra donc d officialiser les processus. Dans la pratique, vous serez tenu de respecter les règles suivantes : Commencer à structurer la gestion des données Vous devrez gérer les données de la même façon que les autres ressources de l entreprise, telles que les voitures de fonction, les équipements fixes ou les résultats financiers. Veiller à ce que votre entreprise sépare clairement les tâches en matière de gouvernance Vous devrez instituer une entité chargée de s assurer que les tâches requises seront correctement exécutées. Conserver une documentation relative au traitement des données personnelles L absence de processus documentés constituera une infraction passible d une lourde amende. Procéder à des contrôles des documents destinés à surveiller et à gérer la conformité Vous serez également tenu de prouver l application concrète de ces contrôles dans l entreprise, faute de quoi vous devrez payer une amende substantielle. Désigner un responsable de la protection des données Cette règle s appliquera aux entreprises de plus de 250 salariés ou aux entités impliquées dans une «surveillance systémique» de citoyens de l Union européenne ou de structures du secteur public. L absence d un responsable de la protection des données constituera une infraction passible d une lourde amende. Mettre en place des structures de contrôle Cette règle implique notamment de répondre aux questions suivantes concernant les listes de publipostage : Où avons-nous obtenu ces données? Sommes-nous autorisés à utiliser ces informations? Avons-nous acquis légalement ces données auprès d une source fiable ou les avons-nous obtenues sous la forme d une clé USB? Quels sont notre politique et nos protocoles de gouvernance concernant l utilisation de ces données? Cookies Un exemple du sérieux avec lequel la législation européenne s engage à l égard de la confidentialité des données est illustré par les récentes réglementations concernant l obtention du consentement des individus vis-à-vis de l installation de cookies dans leur navigateur Web. En quoi consistent les cookies? Les cookies sont de petits fichiers déposés par les sites Web sur le disque dur d un ordinateur lorsque des utilisateurs consultent ces sites pour la première fois. Les cookies permettent de conserver des informations explicites lorsqu un utilisateur parcourt les différentes pages d un site Web, et aident le serveur de pages Web à mémoriser ces informations lorsque l utilisateur revient sur ce site à une date ultérieure. Grâce aux cookies, les internautes peuvent stocker leurs préférences et leur nom d utilisateur, enregistrer des produits ou des services et personnaliser les pages qu ils consultent. La nouvelle législation stipule que les utilisateurs doivent désormais donner leur consentement à l utilisation des cookies. En effet, la possibilité de se désinscrire d un dispositif de suivi de l activité en ligne n est plus considérée comme étant suffisante. Ce consentement peut être obtenu de façon explicite par le biais d une case à cocher d adhésion que les utilisateurs doivent activer s ils acceptent les cookies : Il est également possible d obtenir ce consentement en demandant l implication directe des internautes: 6 whitepaper_data_fr_new.indd 6 02/12/14 14:04
Quel sera l impact de cette législation sur votre environnement de travail? L économie actuelle étant axée sur les données, la capacité des entreprises à assurer une gouvernance et un contrôle des données constituera une exigence de plus en plus cruciale. Or, ce projet de loi vous mandate expressément pour cette tâche. Les questions de gouvernance auront des répercussions sur l ensemble de votre entreprise et vous encourageront à gérer la sortie de vos documents professionnels de façon nettement plus structurée. Du point de vue des ressources humaines, la nouvelle législation entraînera une augmentation de l importance des formations du personnel concernant les nouveaux contrôles et procédures. En outre, nous assisterons très probablement à l émergence d une tendance visant à adopter des logiciels de gestion de sortie des documents et à inclure une politique de conformité des données dans les manuels des entreprises. L accent sera également mis sur l importance d appliquer des contrôles rigoureux aux bases de données des entreprises et d automatiser les processus métiers. Un audit des autorisations mené conformément au profil des utilisateurs et portant sur l ensemble des systèmes de planification des ressources de l entreprise (ERP, Enterprise Resource Planning) et de gestion des relations clients (CRM, Customer Relationship Management) limitera les risques d atteinte à la protection des données et protégera toutes les informations sensibles relatives aux clients. Cette mesure impliquera l examen des paramètres propres à chaque employé pour l ensemble des bases de données. Par exemple, un commercial n aura pas besoin de disposer d un accès aux détails bancaires figurant dans le module financier d un système d ERP. Les banques ne gèrent pas d argent, mais seulement des données financières. Les entreprises de logistique ne sont pas chargées d expédier des produits, mais de gérer des données relatives aux produits. La société Amazon ne vend pas de livres. Elle se contente de présenter et de traiter des données concernant des livres. Risques liés aux applications incorrectes Daragh O Brien Castlebridge Associates Si les entreprises ne font pas preuve de suffisamment de rigueur vis-à-vis de la protection des données, elles seront passibles de lourdes sanctions, tant en termes financiers que sur le plan de leur réputation. Par exemple, la société Sony a été piratée neuf fois en l espace de trois semaines en 2011. Les informations personnelles de ses clients ont ainsi été dérobées, occasionnant un coût d environ 175 millions de dollars pour l entreprise, sans parler du montant du préjudice causé à l image de la marque. À la lueur d une étude effectuée en 2012 par l entreprise OVUM, les sociétés consacrent en moyenne 30 % de leurs recettes à la résolution des problèmes de qualité des données dans l entreprise. Cette tâche implique notamment la vérification par recoupement des données, la vérification des faits, ainsi que la correction et la prévention des erreurs. En 2013, Adobe a fait l objet d une violation de sécurité massive à l échelle internationale qui a compromis les données de l ensemble de ses abonnés. L entreprise a ainsi subi de lourdes pertes financières afin de gérer cette crise, ainsi que d énormes préjudices en termes d image de marque. Selon la nouvelle législation, tout manquement à la protection des données sera passible d amendes pouvant atteindre jusqu à 2 millions d euros ou 5 % du chiffre d affaires global. L occasion sera donc donnée aux entreprises d améliorer leur image de marque en se comportant de façon plus professionnelle par le biais d opérations de nettoyage et d enrichissement des données. Elles seront ainsi en mesure d optimiser la gestion de l une de leurs ressources les plus cruciales, à savoir les données. 30% Estimated amount of revenue consumed by addressing data quality problems in the average organization. 7 whitepaper_data_fr_new.indd 7 02/12/14 14:04
Principales difficultés susceptibles de surgir Faire évoluer les mentalités concernant le traitement des données La mise en place des structures requises par les entreprises demandera entre 18 mois et deux ans. Penser que la protection des données est de l unique ressort du département informatique ou marketing La protection des données ne doit pas être envisagée comme telle. Cette question concerne les ressources de l entreprise et doit être traitée en conséquence. Toutes les entreprises, quelle que soit leur taille, devront désigner une personne chargée de superviser toutes les ressources clés, y compris les données. L avenir de la protection des données Dans un contexte économique toujours plus complexe, tous les acteurs impliqués dans la collecte, la gestion et la protection des données seront tenus de fournir un effort supplémentaire. Toutefois, les spécialistes estiment que les données des individus bénéficieront d une protection efficace quel que soit leur emplacement de stockage, y compris dans le cloud. Un accent particulier sera mis sur l intendance assurée par les détenteurs d informations à caractère personnel. En d autres termes, les entreprises commenceront à traiter les données Conclusion Les entreprises qui partiront du principe que le projet de loi vise à leur compliquer la tâche en matière d exploitation des données passeront à côté du véritable potentiel de cette réglementation. Cette législation offre de nombreuses possibilités aux entreprises disposées à considérer les informations d un point de vue personnelles comme s il s agissait de données financières et veilleront à leur protection, quel que soit leur emplacement. En parallèle, nous assisterons probablement à une multiplication des sanctions à l égard des entités qui manqueront à leurs obligations en matière d intendance. Enfin, dans le secteur du marketing et des relations clients, la future législation en matière de protection des données offrira des opportunités aux entreprises désireuses de s investir pour répondre aux demandes des consommateurs tout en faisant preuve d innovation. holistique et à les gérer comme une ressource. Si les entreprises se révèlent en mesure de mettre en place un processus de gouvernance approprié vis-à-vis de la protection des données, elles seront capables de veiller à l exécution adéquate des tâches requises. VÉRIFIEZ QUE VOUS ÊTES EN CONFORMITÉ 1. Établissez clairement les responsabilités. 2. Définissez et répartissez les tâches à accomplir. 3. Assurez-vous que les opérations requises sont correctement effectuées (telles que l extraction de données ou l utilisation d analyses marketing). 4. Intégrez dès à présent les exigences européennes de conformité en matière de protection des données et de la vie privée dans votre stratégie de gouvernance des données, quel que soit votre emplacement géographique. 5. Si vous êtes implanté dans l Union européenne, assurez-vous que vos équipes de protection des données, de gouvernance des données et de qualité des informations communiquent (et, dans l idéal, veillez à les installer au même endroit ou à les fusionner), puis commencez à réfléchir aux modifications requises dans votre entreprise. 8 whitepaper_data_fr_new.indd 8 02/12/14 14:04
Contributeur Principal Daragh O Brien Fondateur et directeur général de Castlebridge Associates, Irlande Castlebridge Associates offre des services d accompagnement, de conseil, d encadrement et de gestion de projets aux entreprises confrontées à des difficultés en matière de qualité des informations, de gouvernance des données, de conformité aux lois sur la protection des données ou d élaboration d une stratégie relative aux informations. Autres Sources TDAN (The Data Administration Newsletter, bulletin d information en matière d administration des données) ico.org.uk (ICO - Information Commissioner s Office, organisme britannique de régulation des questions de protection des données) Séminaire Neopost sur la protection de la vie privée en 2011 OVUM (entreprise spécialisée dans la fourniture d analyses indépendantes et objectives permettant aux entreprises de prendre des décisions commerciales et technologiques plus avisées) Hillicon Valley -The Hill s Technology blog The Office of the Data Protection Commissioner, Ireland (Commission irlandaise pour la protection des données) ehow.com À propos de Neopost Neopost est une entreprise internationale implantée localement qui offre des solutions professionnelles pour le secteur postal, l expédition de colis et le monde numérique de demain. Nous connaissons parfaitement les moindres aspects des communications par voie physique et électronique, et nous collaborons avec plus de 800 000 entreprises à travers le monde. Notre entreprise a su évoluer afin de répondre aux exigences croissantes d un environnement axé sur la technologie. En d autres termes, nous sommes en mesure de faciliter le passage de nos clients d un environnement de gestion du courrier physique à une gestion de qualité des communications via différents canaux. Rejoignez-nous neopost.com 9 whitepaper_data_fr_new.indd 9 02/12/14 14:04