RGPD : intégrer la sécurité des données aux argumentaires marketing

Comment conduire des programmes marketing efficaces si vos clients ou prospects s'inquiètent de la sécurité de leurs données? "Aucun secteur économique ne serait à l'abri" d'une cyber attaque selon le rapport sur l'étendue de la cyber-menace en France, publié ce mois-ci par le ministère de l'Intérieur. La prise en compte du risque cyber est devenue un défi majeur pour toutes les entreprises.

La perception de la sécurité des données n'est pas partagée: 85% des consommateurs expriment des inquiétudes, alors que 62% des organisations victimes d'une cyberattaque reconnaissent ne pas avouer à leurs clients que leurs données personnelles ont été compromises... L'écart est fort; la confiance est loin d'être établie!

Sous l'effet conjugué des attaques massives et mondiales qui ont défrayé l'actualité et du RGPD, les entreprises doivent bâtir une nouvelle forteresse autour des données personnelles. La sécurité et la confidentialité des données s'invitent à la table des marketeurs.

1. Check-list de mise en conformité "sécurité"

Coopération à l'audit initial

Comme toujours la mise en conformité "sécurité" passe par l'audit de l'existant. Marketeurs, vous serez impliqués dans ce volet sécurité qui permettra d'identifier les risques et de définir les efforts à fournir pour la mise conformité. Voici une liste de questions essentielles qui vous sera (probablement) soumise :
- Votre action porte-elle sur des données personnelles sensibles?
- Savez-vous tracer le parcours des données personnelles sur lesquelles vous intervenez en interne et en externe avec vos sous-traitants?
- Vos données transitent-elles hors UE?
- Connaissez-vous les processus de gestion des risques pour les données personnelles?
- Connaissez-vous les processus de détection et de surveillance des fuites?
- Disposez-vous de clés d'accès sécurisées?
- Les contrats avec vos sous-traitants disposent-ils de clauses de sécurité?
- Avez-vous testé et mis en oeuvre un plan d'intervention, y compris les notifications et la communication externe?
- Place du marketing dans le plan d'action d'entreprise : la mise en place d'un process de "gestion des failles de sécurité & anticipation des risques" conforme au RGPD sera conduit par le Délégué à la Protection des Données, en collaboration avec les équipes IT et RSSI. Selon le niveau d'avancement sur le sujet, il est possible que la mise en conformité RGPD ne soit qu'un volet parmi d'autre du plan d'action "cybersécurisation" défini par notre entreprise. Pour apprécier votre rôle, voici les plans d'action généralement préconisés.

Formaliser une procédure de gestion des failles de sécurité décrivant les grandes étapes

- Procédure d'identification et correction "technique" de la faille,

- Constitution d'un dossier de preuves techniques et juridiques,

- Procédure de dépôt de plainte,

- Procédure de déclaration de sinistre auprès de l'assurance,

- Procédure de notification à la CNIL et procédure de communication aux personnes : en cas de violation de données personnelles, il faudra faire preuve de transparence en la déclarant sous 3 jours à l'autorité de contrôle, voire aux personnes concernées.

Rédiger des modèles types

- Modèle de notification à l'autorité de contrôle,
- Communication aux personnes concernées (mail, sms, n°vert...),
- Communiqué de presse, etc.

Elaborer un registre documenté de la sécurité : collaboration entre le DSI, le RSI et le délégué à la protection des données

- S'assurer que les prestataires ayant accès aux données ou en lien avec la gestion des données respectent les obligations de sécurité et de protection des données,

- Garantir que, par défaut, seules les données nécessaires au regard de la finalité de chaque traitement sont traitées : limiter la quantité de données collectées, anonymiser les données, limiter la durée de conservation, etc. (Privacy by Default),

- Réaliser régulièrement des tests techniques d'intrusion / accès aux données avec tenue d'un registre des incidents de sécurité détaillés,

- Ajouter dans les contrats de sous-traitance une clause imposant un audit de sécurité,

- Sensibiliser les équipes aux enjeux de confidentialité et de sécurité des données.

Préparer la trame des études d'impact

Les études d'impact sur la vie privée (EIVP ou PIA en anglais) permettent d'évaluer l'adéquation des mesures prises par le responsable de traitement au regard des risques encourus sur la vie privée ; il s'agit en amont de :

- Identifier le traitement objet du PIA tant au plan juridique que technique,

- Identifier les mesures retenues (actuelles ou prévues) pour respecter les exigences légales,

- Évaluer les risques : scénario décrivant l'évènement redouté et toutes les menaces susceptibles de le concrétiser ; définir la gravité et la vraisemblance de l'évènement,

- Prise de décision: évaluer les risques résiduels et les mesures ; si les mesures envisagées sont jugées acceptables et les risques résiduels faibles, le PIA est validé.

2. De la contrainte à l'opportunité à saisir

Les marketeurs vont devoir revoir leurs pratiques à la lumière des obligations du RGPD, mais aussi des inquiétudes nouvelles des consommateurs sur la cybersécurité. Le Règlement offre d'une part, une opportunité pour les organisations d'instaurer une vraie culture de la sécurité et celle d'augmenter la confiance des clients.

Le constat va émerger de cet audit initial: la sécurité n'est pas qu'une question de moyens techniques, car les failles sont, pour une part, liées aux pratiques quotidiennes de collaborateurs directs ou indirects qui s'autorisent des "petites entorses". La sécurité est une affaire collective dans laquelle, in fine, la responsabilité n'est pas uniquement celle des équipes IT. C'est sans doute l'une des conséquences les plus compliquées à prendre en compte: faire comprendre à tout salarié en contact avec des données personnelles, sa propre responsabilité, à l'instar des hôtesses de caisse qui manipulent des espèces. C'est une étape essentielle de formation qui doit irradier toutes les strates de l'entreprise, depuis les équipes IT ou CRM, jusqu'au vendeur qui collecte des coordonnées en magasin. La démarche de sensibilisation doit aussi prendre en compte les risques liés aux porosités entre les outils professionnels et personnels qui exposent l'entreprise à de multiples risques de perte de données.

Au niveau de la confiance, les attentes des consommateurs sont élevées sur le sujet: 85 % se disent inquiets. En protégeant fortement leurs données personnelles, en augmentant les obligations de sécurité amont et aval, le RGPD oblige les organisations à réévaluer leurs règles de traitement, de sécurité, de confidentialité. Confiance et transparence sont au centre du dispositif imposé.

Les enseignes, les marques doivent donc mettre un point d'honneur à rassurer clients et prospects sur l'usage de leurs données personnelles, mieux faire comprendre comment elles sont sécurisées. Il est vrai que nous laissons plus facilement et plus sereinement des informations lorsque nous savons exactement comment elles sont utilisées.

La confiance repose sur des preuves : comment passer du déclaratif à la preuve? Les normes (ISO 27001), labels, certifications devraient contribuer à cette clarification. Les entreprises pourront décider de communiquer sur le fait qu'elles respectent le RGPD, tout en expliquant à leurs clients ce que cela signifie. Les entreprises proactives sur les questions de cybersécurité seront en mesure de valoriser leurs efforts et d'en faire un avantage compétitif.

Cet extrait est issu de "#RGPD et Marketing : de la contrainte à l'opportunité" paru aux Éditions e-theque, avec Sylvie Brunet, Jean Philippe Arroyo et Roselyne Sage.