UBA Data Protection Guide

Comment ce guide vous aidera-t-il concrètement ?

Ce guide est un outil essentiel pour travailler et communiquer de manière efficace tout en protégeant les données de vos clients et consommateurs.

Le guide se compose de cinq parties:

  • Comment organiser votre équipe
  • Comment collecter correctement les données des consommateurs ?
  • Comment organiser efficacement le stockage des données des consommateurs ? 
  • Comment utiliser les données ciblées sur les consommateurs ?
  • Comment garantir une plus grande transparence et plus de confiance ?

Partie 1. Comment organiser votre équipe ?

Dans ce premier chapitre, vous apprendrez à jeter les bases de votre politique en matière de données des consommateurs et à clarifier les rôles, les responsabilités, la communication interne, les politiques, les processus et les audits.

Cliquez ici pour télécharger la première partie du guide au format PDF.

Le DPO : le pivot de l’organisation

Un Data Protection Officer (DPO ou délégué à la protection des données en français) supervise l’ensemble du processus de protection des données. Le GDPR (General Data Protection Regulation) ou RGPD (Règlement général sur la protection des données) stipule pour quelles organisations un DPO est obligatoire. Si ce rôle n’est pas obligatoire dans votre cas, un point de contact central est tout de même conseillé. Vous favoriserez ainsi la clarté et l’efficacité en interne. Votre DPO formel ou informel doit, bien sûr, pouvoir s’appuyer sur des experts pour les questions plus difficiles ou techniques.  

Important : le DPO n’est pas responsable en dernier ressort du respect des règles de protection des données. Cette responsabilité incombe, en effet, à la direction. Celle-ci ne doit évidemment pas être impliquée dans toutes les questions relatives à la protection des données. Il est toutefois important de prendre des engagements (de travail) clairs sur le pouvoir de décision et la description de la fonction. Cela permet de clarifier les choses pour tout le monde : chaque collaborateur sait ainsi à qui adresser ses questions.


Trois éléments sont importants pour le bon fonctionnement du DPO :
 

  • Indépendance  

Il est important que le DPO n’ait pas de fonction de direction. Cela réduit le risque de conflits d’intérêts. L’APD (Autorité de protection des données, l’organe gouvernemental de contrôle) est très attentive à ce point et peut même intervenir, le cas échéant. 

  • Budget 

Le DPO doit disposer du temps et des moyens financiers nécessaires à un travail approfondi. C’est parfois là que le bât blesse dans le cas des DPO externes. Ils travaillent souvent dans un contexte où le budget disponible est limité. Pour réduire les coûts, il n’y a, en effet, pas de place pour un DPO interne.  

  • Accessibilité  

Un DPO doit également connaître tous les aspects du traitement des données à caractère personnel. À cet égard, il doit avoir accès à toutes les informations pertinentes et doit également instaurer une bonne (structure de) communication avec les collaborateurs concernés. Le DPO est donc de préférence une personne qui connaît bien les tenants et les aboutissants de l’organisation. 

Le DPO est également la personne de contact pour l’APD. Veillez donc à enregistrer votre DPO auprès de cet organisme. De même, les groupes cibles internes doivent savoir clairement qui est le point de contact. Expliquez-leur pourquoi il existe un DPO et ce qu’il fait exactement.  

Pour terminer : toute question ou plainte d’un consommateur suggère un manque de clarté ou de transparence. Faites en sorte qu’il soit le plus simple possible de réagir. Assurez-vous que le DPO dispose de la latitude et des ressources nécessaires. Pour toute marque, une question ou une plainte concernant des données à caractère personnel est l’occasion de communiquer et d’améliorer la relation. 

Avis d’expert. Un DPO, même s’il n’est pas obligatoire 
Les données sont une matière complexe et le risque d’erreurs (juridiques) est donc toujours présent. Un spécialiste apporte, en ce sens, une réelle valeur ajoutée, même s’il n’est pas officiellement désigné comme DPO. Un DPO externe peut être la solution, a fortiori s’il connaît bien votre secteur. Il n’est pas conseillé d’opter pour un point de contact variable. La connaissance de votre activité et le savoir-faire en matière de données permettent d’accélérer le processus, en particulier en situation de crise.

DPO

Mettre et maintenir la protection des données à l’ordre du jour

Dans de nombreuses organisations, la protection des données, la vie privée et les données sont souvent une préoccupation secondaire. C’est notamment le cas lorsque la législation n’évolue plus : l’attention qui lui est portée fond comme neige au soleil.  

Voilà donc une bonne raison de mettre régulièrement ce thème à l’ordre du jour. Non pas avec de la théorie brute, mais à travers des sessions de formation interactives, des exercices autour de la sécurité des données, des processus de test tels que « Que faire en cas de violation de données ? » ou « Que faire si quelqu’un veut accéder à ses données à caractère personnel ? ». Autant de situations concrètes auxquelles bien des organisations et des collaborateurs ont déjà été confrontés. Tester les processus est toujours un exercice utile. Vous pouvez, par exemple, traiter une question fictive d’une personne concernée, envoyer un faux courrier d’hameçonnage ou annoncer une violation de données pour tester le processus. 

Une autre manière de susciter l’intérêt pour la protection des données consiste à centraliser les documents relatifs aux politiques de sécurité, aux processus et aux flux de processus, aux décisions politiques... S’ils sont visibles et accessibles sur un intranet, les collaborateurs seront plus enclins à les consulter.  

Conseil d’expert. Organiser des sessions accélérées sur la protection des données.
 
Chaque membre de votre organisation doit avoir des connaissances de base en matière de protection des données. L’intérêt sera d’autant plus grand si ces connaissances sont liées à une fonction spécifique. Un spécialiste du marketing numérique aura besoin d’autres connaissances qu’un responsable qui doit prendre des décisions concernant le traitement de données à caractère personnel. Veillez également à effectuer des mises à jour régulières, car une communication trouve sa force dans la répétition. Testez aussi si les collaborateurs retiennent l’information afin de savoir quand adapter les sessions.



Que faut-il prendre en compte dans les processus de protection des données ?

La protection des données étant liée à des règles, il est efficace d’examiner régulièrement vos processus internes au regard de la réglementation. Définissez de tels processus : 

  • pour les mesures technico-organisationnelles lors de la sélection d’un sous-traitant ; 
  • avant le traitement des données sur base d’un contrat de sous-traitance signé ;  
  • pour garantir les droits des personnes concernées ; 
  • en cas de différents types de violations de données ; 
  • pour tenir à jour le registre des traitements ; 
  • pour les processus d’audit. 

Processus et audits internes

Un audit permet de déterminer si vos processus répondent à vos attentes. Il met également au jour d’éventuelles lacunes, auxquelles vous pouvez remédier de manière ciblée. 

  • Audits internes  

Votre DPO ou un tiers externe vérifie si les processus respectent les règles du GDPR. Mais il est également utile de tester l’aspect « sécurité » des données à caractère personnel et d’autres données. Pour ce faire, vous pouvez recourir à des spécialistes externes, entre autres pour un « test de pénétration », conçu pour passer vos systèmes au crible. Vous pouvez également faire appel à des hackers éthiques pour examiner systématiquement votre infrastructure technique. Y compris les applications mobiles et les outils SaaS.  

  • Audits des sous-traitants 

Votre entreprise utilise souvent ou en grande quantité des données à caractère personnel provenant de sous-traitants ? Soumettez idéalement ces derniers à un audit. Vous saurez ainsi d’emblée si la sécurité technique est toujours adéquate. Les règles de protection des données exigent que cette sécurité tienne compte de l’état de la technique, ce qui signifie que la sécurité doit évoluer en parallèle, même si le contrat avec le sous-traitant indique explicitement en quoi doit consister la sécurité minimale. Il est évident que de tels audits relèvent d’un travail de spécialiste. Il convient donc de les faire réaliser par votre DPO ou par une partie externe.  

Partie 2. Comment collecter correctement les données des consommateurs ?

Les parties 2 à 5 de l'UBA Data Protection Guide sont seulement disponibles pour les membres de l’UBA. Votre entreprise est-elle membre de l'UBA ? Connectez-vous ici.

Plus d'informations?

Protection des données en vertu du RGPD

Règles pour les entreprises et les organisations