Data Privacy & Transparency : la protection des données en entreprise

On l’appelle « l’or du 21^ème siècle » : la donnée est aujourd’hui devenue une valeur précieuse pour une entreprise… à condition d’être bien utilisée, maîtrisée et contrôlée. Pour rester compétitives, les organisations doivent opérer leur transformation digitale : un mode de fonctionnement qui passe nécessairement par le développement de nouveaux outils informatiques entrainant une multiplication des données. Mais collecter des données pour les utiliser est une problématique, assurer leur sécurité en est une autre.

En effet, les entreprises sont soumises à des impératifs forts en termes de sécurité et de transparence, avec un encadrement juridique strict imposé par le RGPD. Mais ces obligations légales ne sont pas les seules contraintes pesant sur les organisations : la confiance des clients, indispensable en termes d’image et de relations commerciales, passe nécessairement par le fait d’informer les clients sur l’utilisation qui sera faite de leurs données et les rassurer sur leur protection.

Les entreprises sont donc confrontées à deux problématiques majeures :

• Data privacy: La protection des données consiste à faire en sorte que la donnée d’un utilisateur lui soit propre et que personne d’autre (sauf exception prévue expressément dans le cadre du traitement) ne puisse y accéder.
• Transparency: La transparence consiste à mettre à la disposition des personnes concernées une information claire et facilement accessible sur la nature des données collectées, l’utilisation qui en sera faite, les process mis en place et l’exercice de leurs droits.

Mais comment garantir la confidentialité des données collectées ? Comment assurer leur sécurité et leur conformité ? Comment gérer leur traitement, leur stockage, leur modification et leur suppression ? A l’occasion de ce Mois de la Data Privacy & Transparency, nos experts Data partagent avec vous leur expertise pour apporter des solutions techniques à vos problématiques de protection des données et de transparence.

Pourquoi une entreprise doit-elle sécuriser ses données ?

Avec l’essor des nouvelles technologies, les entreprises se trouvent confrontées à une multiplicité des données : qu’ils s’agissent de données internes à l’entreprise ou de données collectées auprès des clients, leur nombre a augmenté d’une façon exponentielle. Considérées comme des éléments majeurs de la stratégie d’une entreprise, les données – une fois traitées et analysées – deviennent un outil précieux pour gagner en efficacité, en performance et en compétitivité. Mais l’accroissement des données collectées par les entreprises est tel que la question de leur sécurisation s’est rapidement posée. Que se passerait-il si ces données tombaient entre de mauvaises mains ? Quelles seraient les conséquences d’une fuite de données ? Comment assurer la protection des données par les entreprises ? C’est pour répondre à ces problématiques que la mise en place d’un cadre légal est rapidement devenue indispensable.

Multiplication des données collectées par les entreprises

Les entreprises collectent un nombre immense de données. Avec l’augmentation du travail hybride, on estime même que le nombre de données gérées par les entreprises a été multiplié par 10 en 5 ans.  Un phénomène qui n’est pas près de s’arrêter. Toutes ces données n’ont pas le même niveau de sensibilité et ne nécessitent pas nécessairement un niveau de sécurité identique. Certaines données dites « sensibles » doivent même faire l’objet d’une attention toute particulière : nous vous les listons dans la suite de cet article.

Les données personnelles

Intéressons-nous d’abord aux données personnelles : quelles données collectées entrent dans la définition de données personnelles ? Sont considérées comme des données personnelles (ou données à caractère personnel) toutes les informations se rapportant à une donnée identifiée ou identifiable. L’identification peut être directe (ex : prénom et nom de la personne) ou indirecte (ex : numéro de sécurité sociale, numéro de téléphone…). Elle peut être réalisée à partir d’une donnée unique (ex : nom) ou par le croisement de plusieurs données (ex : homme né à telle date, vivant à telle adresse et membre de tel club sportif).

Données humaines

Pour une entreprise, les données humaines sont les données personnelles concernant les personnes en lien avec son activité.

Une donnée personnelle est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, toute donnée permettant l’identification d’une personne (directement ou indirectement) est considérée comme une donnée personnelle et doit faire l’objet d’une protection particulière.

Au quotidien, les entreprises sont amenées à collecter un grand nombre de données personnelles, aussi bien pour la gestion de leurs équipes (données personnelles relatives aux collaborateurs) que dans le cadre de leurs relations commerciales (données personnelles des clients, des fournisseurs…).

Les données personnelles sont multiples :

• Nom
• Prénom
• Adresse email
• Numéro de téléphone
• Numéro de sécurité sociale
• Adresse IP
• Photo
• Adresse
• Numéro d’identification (ex : code client)
• Date de naissance
• Etc.

Données de l’entreprise

Parallèlement aux données humaines, l’entreprise traite de nombreuses données en lien avec son activité. Il peut s’agir de données financières (résultats, budgets, chiffres prévisionnels, montant des charges, factures, etc.) ou de données métier (procès, statistiques, produits…).

Leur diffusion risquerait de nuire à l’entreprise, notamment en donnant des indications sur sa stratégie, ses objectifs ou encore son savoir-faire. C’est pourquoi il est essentiel d’assurer la sécurisation de ces données-clés.

Cas particulier des données sensibles

Si certaines données n’ont pas de « valeur » particulière, d’autres sont considérées comme « sensibles » et doivent faire l’objet d’une double vigilance en termes de traitement et de sécurisation.

Ainsi, la collecte de données liées à la santé ou aux opinions politiques ou religieuses d’une personne est normalement interdite en entreprise. Toutefois, il peut parfois être nécessaire, dans le cadre de l’activité professionnelle, de collecter ces données sensibles. Les départements RH par exemple sont amenés à gérer des données liées à la santé des collaborateurs (arrêts de travail, RQTH pour les travailleurs handicapés…).

Il importe donc de mettre en place des outils garantissant la sécurité de ces données, aussi bien dans leur stockage que leur traitement.

Quelles sont les données sensibles ?

Sont considérées comme des données sensibles toutes les informations d’une personne physique liées  à:

• la prétendue origine raciale ou ethnique,
• la religion,
• les opinions politiques,
• les convictions philosophiques,
• l’appartenance syndicale,
• les données génétiques,
• les données biométriques,
• la santé,
• la vie sexuelle ou l’orientation sexuelle .

RGPD : encadrement légal des données en entreprises

Quels sont les droits fondamentaux d’un particulier par rapport a ses données personnelles ? Toute personne physique dispose de plusieurs droits liés à ses données personnelles :

• Droit d’être informé sur l’utilisation de ses données,
• Droit d’accès à ses données personnelles,
• Droit de rectification de ses données personnelles (ex : changement d’adresse, changement de nom…),
• Droit d’opposition : un individu peut refuser que ses données personnelles soient utilisées
• Droit à l’effacement de ses données personnelles (on parle aussi de “droit à l’oubli”)
• Droit à la limitation du traitement : une personne peut demander à limiter l’utilisation de ses données personnelles
• Droit à la portabilité des données

La nécessité de règlementer la gestion des données personnelles ne date pas d’hier : dès 1978, le législateur français a imposé un certain nombre de règles avec la loi dite « Informatique et Libertés » du 6 janvier 1978 : le texte prévoyait notamment pour les entreprises l’interdiction (sauf exception) de collecter des données à caractère sensible et l’obligation de déclarer auprès de la CNIL tout fichier contenant des données personnelles.

Après une première directive européenne sur la protection des données en 1995, la règlementation s’est véritablement renforcée avec l’entrée en vigueur du Règlement Général pour la Protection des Données le 25 mai 2018. Applicable à tous les états membres de l’Union Européenne, le RGPD (GDPR en anglais) impose notamment à toutes le entreprises exerçant leur activité en France des mesures de protection de leurs données.

Les contraintes liées à la sécurisation et au traitement des données collectées en entreprise

Les exigences posées par le RGPD imposent aux entreprises de mettre en place des process dont le but est d’assurer la transparence vis-à-vis des utilisateurs et la sécurité des données personnelles. Ces mesures doivent couvrir toutes les étapes de leur cycle de vie, de leur collecte jusqu’à leur destruction :

• Collecte
• Enregistrement
• Conservation
• Modification
• Extraction
• Consultation
• Utilisation
• Mise à disposition
• Etc.

Au sein d’une entreprise, les fonctions support et les fonctions commerciales sont particulièrement confrontées à des problématiques liées aux données personnelles. Toutes doivent mettre en place des actions pour assurer leur conformité au RGPD :

1. Constituer un registre de traitement des données: pour chaque activité, quel est le but poursuivi ? Quelles sont les données collectées ? Quelle est leur durée de conservation ? Qui aura accès à ces données ?
2. Faire le tri des données: quelles sont les données existantes ? Les données collectées sont-elles nécessaires à l’entreprise ? Quel est la finalité du traitement de chaque donnée collectée ?
3. Respecter les droits des personnes: comment les personnes sont-elles informées de l’utilisation qui sera faite de leurs données. Ont-elles la possibilité d’exercer facilement leurs droits (opposition, effacement, modification…) ?
4. Sécuriser les données: l’entreprise utilise-t-elle des outils informatiques sécurisés ? Chiffre-t-elle les données ? Des mots de passe complexes ont-ils été prévus ?

Les actions de mise en conformité sont nombreuses, pour vous aider à vous lancer nous vous apportons des pistes de réflexions personnalisées en fonction de votre service d’affectation.

Service Marketing / Communication : quelles données protéger ?

Vitrines de l’entreprise, les services Marketing et Communication sont en première ligne en matière de collecte et de traitement des données personnelles. Leur rôle est double :

• assurer la transparence de l’entreprise sur les processus de traitement des données via la publication des mentions légales sur les différentes plateformes publiques (sites Internet, landing pages, pages d’inscriptions à des événements…)
• assurer la sécurité des données personnelles à travers la mise en place d’outils et de process.

Les sources de collecte et de traitement de données personnelles des départements Marketing / Communication sont variées :

• Formulaires de contact
• Téléchargement de contenus (livres blancs, guides, infographies…)
• Inscriptions à des événements (webinaires, salons, tables rondes, ateliers, soirées, etc.)
• Abonnement à des newsletters et publications
• Etc.

Nos conseils pour sécuriser les données :

• Réaliser un audit de l’existant ;
• Se limiter aux données utiles et éviter de collecter des données ne faisant pas l’objet d’un traitement ;
• Mettre en place des process (notamment sur le traitement des bases de données) ;
• Se faire accompagner par un expert (DPO, avocat…) pour la mise en place des mentions légales ;
• Sensibiliser les équipes aux problématiques du RGPD ;
• Travailler les champs des formulaires de contact (réflexion sur les intitulés / limitation des champs de commentaires…) ;
• Utiliser des outils automatisés et sécurisés ;
• Mettre en place un outil de gestion des cookies tel qu’Axeptio ;
• Etc.

Service RH : protéger des données sensibles

Contrairement aux départements Marketing et Communication qui gèrent principalement des données externes à l’entreprise, les services RH sont amenés à traiter les données personnelles (y compris à caractère sensible) des candidats au recrutement (CV) et des salariés :

• Adresse personnelle ;
• Situation de famille ;
• Numéro de téléphone personnel ;
• Numéro de sécurité sociale ;
• Salaire ;
• Données fiscales ;
• Arrêts de travail ;
• Etc.

La règlementation applicable précise des durées de conservation spécifique à chaque type de données (ex : 5 ans après le départ du salarié pour les données du Registre Unique du Personnel / 2 ans pour les données personnelles d’un candidat).

Il est donc nécessaire de mettre en place des outils automatisés permettant le traitement de ces données de façon sécurisée tout en permettant une gestion facilitée de l’effacement et du droit à l’oubli.

Nos conseils pour sécuriser les données RH :

• Mettre en place un logiciel RH (ou SI RH) avec des droits d’accès restreints en fonction des utilisateurs
• Mettre en place des process automatiques de suppression des données
• Sensibiliser les utilisateurs aux problématiques du RGPD.

Service commercial : protéger les données des clients

Interface directe avec les clients finaux (qu’ils soient B2B ou B2C), le service commercial gère également de nombreuses données personnelles. Une fuite de ces données (en raison d’une erreur humaine ou d’une attaque malveillante) entrainerait des conséquences désastreuses pour l’entreprise : perte de confiance des clients, mauvaise image, sanctions pénales ou financières… Il est donc essentiel d’avoir une gestion particulièrement sécurisée des données clients.

Dans le cadre de réponses à appels d’offres ou de propositions commerciales, les entreprises sous-traitantes sont également de plus en plus poussées à apporter la preuve de leur conformité aux exigences légales et règlementaires en matière de transparence et de sécurisation des données : la mise en place d’outils et de process est alors une garantie de répondre à ces exigences de plus en plus fortes des clients.

Nos conseils pour sécuriser les données clients :

• Mettre en place des process et des outils sécurisés et automatisés ;
• Réaliser des audits réguliers ;
• Sensibiliser l’équipe aux bonnes pratiques ;
• S’assurer de l’efficacité des process d’exercice des droits des personnes.

Service financier : sécuriser des données stratégiques

Au-delà de leur rôle administratif, les services financiers et comptables sont devenus une pierre angulaire de la stratégie. De plus en plus équipés d’outils technologiques performants, ils sont désormais en capacité d’analyser de nombreuses données stratégiques pour l’entreprise.

Chiffre d’affaires, budgets prévisionnels, charges, recettes, objectifs chiffrés… Ces données sont essentielles pour l’entreprise et leur fuite lui serait particulièrement néfaste. Il est donc primordial d’assurer leur sécurité tout en permettant leur utilisation et leur visualisation afin d’en faire des outils d’aide à la décision et d’analyse des résultats.

Nos conseils pour gérer les données stratégiques :

• Remplacer les fichiers Excel – sources d’erreurs – par des outils automatisés ;
• Utiliser des plateformes permettant la visualisation de la donnée (schémas, graphiques…) ;
• Privilégier les outils partagés avec des droits d’accès individuels.

Des réponses techniques pour garantir transparence et sécurité des données

Pour permettre aux entreprises de mettre en place une gestion transparente et sécurisée de leurs données, les experts Cellenza et Databricks partagent avec vous leur expertise technique dans une série d’articles inédits.

Vous y trouverez des réponses concrètes à vos problématiques, des cas d’usages et des guides techniques pour mettre en place une gestion des data conformes aux exigences règlementaires.

Au programme :

• Droit à l’oubli : Quel impact sur la donnée ? Quelles procédures mettre en place ?
• Chiffrement homomorphe : comment protéger les données personnelles et garantir leur non déchiffrement ?
• Sécurité des lignes et des colonnes avec Databricks
• Comment protéger une infrastructure Cloud contre la fuite de données ?
• Comment travailler avec une base de données chiffrées ?

Et pour aller plus loin, nous vous invitons à visionner le replay de notre webinaire exclusif sur le thème « Protéger et sécuriser vos données : quels impacts sur vos process ? », animé par nos experts : Matthieu Klotz (CTO Data/IA), Nathalie Fouet (consultante Data/IA) et Amine Kaabachi (consultant Data/DataOps)

Découvrez dès à présent l’article suivant sur les process du droit à l’oubli !

Cet article a été rédigé par Ambre Ulrich, Madeleine de Place et Matthieu Klotz