Privacy-washing : votre mise en conformité au RGPD est-elle plus blanche que blanche ?

10 janvier 2020

Votre mise en conformité au Règlement général de protection des données (RGPD) est-elle plus blanche que blanche ? Une question que Coluche aurait pu poser s’il était en charge d’une direction de maîtrise des risques. Il faut retenir, ici, que le RGPD ne doit pas être le nouveau Greenwashing, à savoir orienter artificiellement ses actions marketing et sa communication vers un positionnement écologique. Le privacy-washing reviendrait, alors, à orienter sa communication externe ainsi que son marketing afin de transmettre des messages positifs auprès de ses clients autour de la protection de la vie privée alors même que les dispositifs en interne ne seraient pas ou peu aboutis. Quels sont les impacts d’une vitrine privacy bien achalandée sans avoir les outils, les procédures et les processus nécessaires sur les étals de votre boutique ?

(voir aussi: Le Cybersecurity Act : l’ultime volet pour la sécurité du marché unique du numérique européen)

Le bénéfice de bien préparer son stock RGPD avant de mettre son mannequin privacy en vitrine

Dans le cadre de votre mise en conformité au RGPD, vous avez planifié et priorisé les chantiers ; notamment ceux visibles depuis l’extérieur. Dans la plupart des cas, il s’agit d’une charte de protection des données qui sera publiée sur votre site internet institutionnel. Son contenu expose, notamment, comment vous vous assurez de protéger les données à caractère personnel de toute personne qui est en interaction avec vous (visiteurs de votre site, clients, candidats….). 

Quid de l’impact sur la gestion quotidienne du service du Délégué à la Protection des données (DPO) ? Il ne faut pas oublier que le DPO n’est pas, toujours, voire rarement, le directeur de programme RGPD. Si nous établissions un RACI (responsible, accountable, consulted et informed), le DPO serait alors systématiquement consulté sur toutes les questions relatives à la protection des données à caractère personnel. Le service du DPO est en charge principalement de piloter l’exercice des droits (accès, rectification, portabilité…) et la gestion de crise en cas d’un impact sur la vie privée. Il est, bien sûr, sollicité pour avis ou contribution sur les chantiers de mise conformité au RGPD. Toutefois, la partie émergente auprès du grand public demeure l’exercice des droits. Créer une visibilité par l’intermédiaire d’une campagne de courriel, du magazine réservé à vos clients ou le site institutionnel n’est pas sans effet. A titre d’exemple, la charte de protection des données, mise à jour ou nouvellement créée, dans laquelle les grands principes sont exposés sera source d’un engouement de la part de vos clients. Cette exposition nouvelle peut créer un pic de demandes d’exercice des droits.

Toutefois, en arrière boutique, les procédures et processus de gestion de ces demandes sont-ils vraiment bien secs ? La cellule DPO est-elle en mesure de faire face à cet afflux et de répondre dans le délai imparti (ndlr: 30 jours) ? Au delà du simple accusé-réception d’une demande, il faut prendre en compte le traitement de cette dernière par les directions concernées. Sans oublier, le temps passé avec les clients qui sont prêts à argumenter avec un cours de droit de protection des données que vous devez absolument faire suite à leur demande. La viabilité de ce plan de charge doit être quantifié au regard de la capacité à faire, variable selon le nombre de salariés présents dans le service DPO. Cette stratégie de communication, sans procédure “d’industrialisation” de l’exercice des droits, devient anxiogène, chronophage et pourrait conduire, en cas de réponse incomplète ou en retard, à une plainte auprès de la CNIL par les personnes concernées. 

RGPD

Le sourire privacy pour fidéliser vos prospects

Qu’en est-il lorsqu’il s’agit de faire croître vos ventes par la prospection commerciale ? La collecte du consentement étant un point crucial pour initier des actions de relation commerciale. Vos mentions sont écrites, juridiquement calibrées et publiées; cependant la compréhension, pour un non-initié, est-elle facile ? Un risque se profile alors pour votre fichier de prospects. A la lecture de la demande de consentir à être sollicité commercialement par voie postale ou téléphonique, la réponse du prospect tend fortement vers le “non”. Une approche trop directe et juridique de la collecte du consentement n’attire pas le chaland. Ici, l’objectif n’est pas d’être trompeur mais d’avoir une formulation plus accrocheuse tout en restant juridiquement qualitative. Afin d’écarter ce risque, il demeure nécessaire qu’une collaboration existe entre la direction juridique et celle du marketing. Ce travail transversal est la clé pour sauvegarder le fichier client tout en étant conforme à la réglementation. De manière plus globale, le programme RGPD doit s’inspirer de la fonction transversale et collaborative du DPO. Chaque chantier doit se réaliser avec l’expertise de chaque département avec une bonne circularisation de l’information et des productions.

Vous sentez vous prêt à affronter les badauds devant votre vitrine et prêts à pénétrer dans votre boutique data privacy ?

Que dire lorsque des responsables de la protection des données se soumettent à l’exercice de l’interview presse ou télévisée ? Une belle exposition pour la nouvelle ouverture de la cellule DPO. Les regards sont tournés vers vous et notamment celui du contrôleur (ndlr : CNIL). Il semble alors nécessaire de vous interroger :

  • Vos collaborateurs ont-ils été sensibilisés sur les enjeux de protection des données et sur les nouvelles procédures?
  • Par exemple : comment agir et réagir lors d’un contrôle de la CNIL ? De l’accueil du siège jusqu’aux collaborateurs responsables en n’oubliant pas les aspects logistiques ?

La formation et la sensibilisation sont des enjeux importants pour assurer une activité et une réactivité adéquates au regards des enjeux privacy. L’accompagnement au changement est inscrit dans les fonctions du DPO. La nécessité se retrouve également dans la partie programme RGPD dans laquelle il est nécessaire de former les collaborateurs dans leur activité (GRC, DSI, BCA…) pour qu’il sache quoi faire en termes de privacy et lors d’une difficulté. Vous ne laisseriez pas un vendeur manipuler les produits et les vendre sans l’avoir formé en amont, il en est de même en matière de protection de la vie privée et de toutes ses implications.

Alors, vous sentez-vous toujours prêt à ériger, au regard des badauds curieux se massant sur votre pas de porte, un panneau “boutique data privacy ouverte” ?

Notre ligne de conduite afin que le RGPD soit source d’une croissance en mode confiance

L’équipe programme RGPD, doit savoir mesurer les risques sur l’activité quotidienne de l’entreprise. Face à la concurrence et à l’engouement autour du sujet, l’empressement à démontrer que vous êtes un acteur qui compte sur cette matière peut en réalité révéler des manquements et une immaturité ayant une incidence directe sur l’image et la réputation, sans compter les pertes financières… Le privacy-washing, tout comme l’a été le greenwashing, n’est pas une voie viable sur le long terme, d’autant plus dans une ère où le numérique et l’information circulent rapidement, avec toutes les difficultés que cela peut engendrer.

Devoteam, grâce à son activité data privacy, met au coeur de son accompagnement la gestion des risques et vous permet de réaliser un audit de maturité afin que le badaud devant votre vitrine privacy rentre en toute confiance et que la devanture du magasin reflète son intérieur. Nous mettons en place cette sécurisation sur les deux volets de la protection de la vie privée mentionnés. D’une part avec un calibrage des chantiers et une adaptation des outils ainsi que des procédures à votre secteur, et d’autre part une vision précise des enjeux de l’activité quotidienne en matière de privacy par nos Délégués à la protection des données externes.


Vous souhaitez en savoir plus ? Découvrez l’offre Cybersécurité de Devoteam

devoteam

Contact

Sébastien Serve

Consultant senior RGPD