Entreprises : quelles solutions pour protéger les données personnelles de vos clients ?
Respect de la loi informatique et libertés, sensibilisation des personnels... Les bonnes pratiques des entreprises qui traitent des données personnelles de leurs clients constituent aussi un enjeu en termes d’image. Elles disposent de différents moyens d’action.
Inscription à une newsletter, participation à un jeu-concours, acceptation de cookies sur un site internet, achat en ligne, utilisation d’un réseau social : les clients des entreprises communiquent à ces dernières de nombreuses données à caractère personnel. Qu’il s’agisse des nom et prénom, de la date de naissance, de données bancaires, d’une adresse postale ou électronique, d’une photographie ou de données de santé, ces informations relèvent de la vie privée des clients et nécessitent une protection efficace contre les intrusions, les piratages, les utilisations malveillantes et même, plus généralement, contre tout accès par un tiers auquel les personnes concernées n’auraient pas clairement donné le droit d’en prendre connaissance. Le cadre juridique applicable à la protection des données personnelles a été fixé, en France, par la loi informatique et libertés du 6 janvier 1978, réformée en 2004. La Commission nationale informatique et libertés (Cnil), autorité administrative indépendante, est chargée, dans ce cadre, de réguler les pratiques, de contrôler la mise en oeuvre par tout organisme visé par la loi précitée et, le cas échéant, de sanctionner le non-respect des obligations incombant à toute entité qui traite des données personnelles. Elle a ainsi récemment infligé à Google une amende record de 150 000 euros1 au titre des pratiques contestables du géant californien en matière de respect de la vie privée.
Outre les sanctions pénales et administratives, une entreprise qui ne respecterait pas la loi protégeant les données personnelles s’expose aussi, ce faisant, à l’altération de son image vis-à-vis de ses clients, prospects, financeurs ou partenaires. Au contraire, il devient fréquent d’exposer ses bonnes pratiques en la matière. Dans ce contexte, l’entreprise, en quête d’une image positive en termes de respect de la vie privée de ses clients, dispose de différents moyens d’action.
Elle devra tout d’abord veiller à la sécurité des données traitées, tant sur le plan physique (alarme d’intrusion, identification et authentification des personnes accédant au site…) que logique (adoption d’une charte informatique et libertés, authentification des utilisateurs, gestion des habilitations, sécurisation des postes de travail…). Le phénomène, croissant, de “Bring Your Own Device” (BYOD)2 doit également être pris en compte afin de déployer les mesures propres à assurer la sécurité des informations auxquelles les salariés ont accès, partout et tout le temps, en dehors du système d’information de l’entreprise.
Correspondants et labels de conformité. De telles précautions doivent en outre s’accompagner d’une sensibilisation du personnel à ces questions, afin que chaque salarié susceptible d’accéder à des données personnelles soit conscient des enjeux correspondants en termes d’image de son employeur et de satisfaction des clients. La désignation d’un Correspondant informatique et libertés (CIL), interne ou externe, peut également être un recours efficace pour assurer la promotion d’une certaine culture “informatique et libertés” au sein d’une entreprise. De même, il s’agira de s’assurer que les tiers auxquels une entreprise peut confier ou permettre l’accès à des données personnelles de ses clients (hébergeur, prestataire mailing, mainteneur…) soient liés contractuellement par des clauses assurant le respect par ceux-ci de la confidentialité et de la sécurité des données concernées. Afin de permettre aux entreprises de s’assurer qu’elles respectent ces prescriptions et bien d’autres encore, et d’obtenir le cas échéant toutes recommandations utiles en vue de l’amélioration de leurs pratiques dans ce domaine, la Cnil a créé un label de conformité à la loi informatique et libertés. Délivré aux structures proposant à leurs clients une procédure d’audit des traitements de données personnelles, ce label est destiné à améliorer la confiance des clients et prospects en matière de protection de leur vie privée.
Dans le contexte actuel, avec l’émergence de craintes légitimes des personnes physiques pour la protection de leur vie privée, on peut penser qu’à court terme, le fait de bénéficier d’un tel indicateur objectif de confiance, garantissant aux clients un haut niveau de protection de leurs données personnelles, sera un facteur concurrentiel déterminant pour une entreprise.
Blandine POIDEVIN et Viviane GELLES, avocates