Gestion de crise & RGPD, … où en êtes-vous ? | France
Gestion de crise & RGPD, … où en êtes-vous ?

Le RGPD est entré en vigueur depuis maintenant un peu plus de 6 mois (25 mai 2018), et la plupart des sociétés françaises et européennes sont normalement « RGPD  Friendly ». C’est-à-dire qu’un changement complet a été effectué pour la protection des données des utilisateurs : moins de données collectées, autorisation explicite et éclairée du traitement des données, contrôle des données, …

Mais si le RGPD a remis l’utilisateur au cœur de sa gestion de données personnelles, il ne faut pas oublier qu’il impose aussi un volet complet sur la gestion de crise en cas de fuites de données. Ce point est essentiel, car les sociétés doivent obligatoirement communiquer sur ce fait (obligé ou non par les organismes de contrôles, comme la Cnil en France).

Voyons donc ensemble quelles sont les mesures imposées par la RGPD, et quelles peuvent être les solutions en cas de crise avérée. Ces solutions s’avèrent toutes aussi probantes pour toutes les autres crises (médiatiques, défectuosités, …)

RGPD et le signalement d’une violation de données personnelles

Sans entrer spécialement dans le détail de tout le texte du RGPD, nous allons surtout nous concentrer sur l’article 33. Dans cet article, nous apprenons qu’il faut notifier à l’autorité de contrôle dès qu’un incident de sécurité est détecté sous un délai de 72 heures.

Il s’agit aussi de définir (article 34 du RGPD) s’il y a une violation des données personnelles et si elle est importante ou pas. Et si tel est le cas la société ou l’institution devra prévenir les personnes concernées dans le même délai.

L’organigramme du site maitrisedescrises.com est très explicite pour comprendre la marche à suivre.

La brique en pointillés rouges est la représentation de l’article 34 et de son exécution.

C’est le DPO (délégué à la protection des données) de chaque entreprise qui juge de l’importance ou non de la violation de données à caractère personnel (et donc de prévenir ou non les personnes concernées). Néanmoins, et d’après l’article 58, l’autorité de contrôle compétente (on le rappelle en France : la CNIL) peut contraindre la société et le DPO à communiquer aux personnes concernées, même si ces derniers jugent que la fuite est mineure. La Cnil joue donc bien son rôle de contrôle et permet ainsi de réguler les notifications afin qu’elles ne soient pas minimisées.

Gestion de crise, avantages et inconvénients des solutions envisageables ?

Donc acte, il faut communiquer et de surcroît rapidement à toutes les personnes concernées en cas de violation de données personnelles grave.

Plusieurs solutions sont possibles :

  • Communication publique
  • Gestion par une cellule de crise interne
  • Gestion par une cellule de crise externe

Note : Cette liste n’est exhaustive mais assez représentative de ce qu’il peut être mis en place.

La communication publique a l’avantage de toucher tout le monde en une seule fois donc très rapidement. Mais c’est aussi l’inconvénient majeur, car même les personnes non concernées seront effectivement au courant de cet incident, ce qui entraîne donc un déficit grave de confiance pour la société ou la marque. En France et d’après l’étude CXLab 2018, les consommateurs tous secteurs d’activités confondus seraient 61 % à cesser toutes activités avec une société ou une marque s’il était avéré un problème de fraude ou de confidentialité.

Enfin même si au niveau de la loi, les personnes sont toutes prévenues, il faudra sûrement mettre en place une cellule de crise par la suite afin de répondre aux questions légitimes des personnes concernées.

  • CXLAB2018

Dispositif commun des cellules de crise internes ou externes

Il faut tout d’abord vérifier quelques points importants. Tout d’abord pour le personnel qui va participer à ces cellules, vérifier qu’ils soient bien formés à répondre à toutes les demandes (juridique, technique…) et surtout qu’il est aussi une certaine connaissance ou formation en relation client. Ce point est très important, car il s’agit de savoir gérer au mieux des situations qui peuvent s’avérer très stressantes. (nous nous rappellerons le cas d’Ashley Madison, il y a quelques mois, qui n’a pas été sans conséquence pour les personnes dont le compte a été piraté).

Autre point à prendre en compte concernant le personnel, vérifiez qu’il soit disponible très rapidement dans le délai de 72 heures et les jours suivants pour la suite donnée à l’incident. Si on prend en exemple, l’incident (certes non liés au RGPD) du Samsung Note et de la batterie défectueuse, Samsung avait dû conserver une cellule de crise plusieurs semaines pour pouvoir contenir et enrayer cette crise. Note : Nous n’avons pas trouvé le délai sur le maintien d’une cellule de crise après un incident de fuite de données. Les entreprises étant assez avares sur ces données, ce qui semble assez logique.

Donc les personnels doivent être compétents (en faisant bien attention de n’oublier aucun domaine : Technique, communication, juridique, …), disponible très rapidement et en nombre suffisant. On se rappellera le piratage d’Uber en 2017, 1.4 millions de comptes français avaient été piratés. Note : Ce piratage s’étant déroulé avant la mise en place du RGPD, Uber n’avait pas à mettre en place une cellule pour prévenir ses usagers, mais cet exemple nous montre l’ampleur de certains piratages.

Différences entre Interne ou externe

L’avantage numéro 1 d’avoir une cellule de crise en interne, est que tout reste sous le contrôle de l’entreprise ou de l’institution. (formation, mise en place, …). Les inconvénients sont par contre multiples : système d’astreintes à prévoir, formation du personnel (ne serait-ce que pour la relation client), nombre de personnels à prévoir en fonction de l’ampleur de la crise, …

A tout cela vient en plus s’ajouter une question de coût, et de valeur ajoutée. Est-ce nécessaire d’avoir (par exemple) un avocat pour répondre à des problèmes juridiques simples ?

La solution pourrait être donc de mandater une société de services externe multicanal, qui aurait une capacité de déploiement importante. Il faut bien sûr anticiper avec cette société les directives et les formations à appliquer, en amont de la crise naturellement. Un autre avantage est la gestion simple du personnel, pas d’organisation à mettre en place ou de surcoûts liés à l’immobilisation des collaborateurs.

Reste ensuite à éprouver le système de crise avec la société externe pour être préparé en cas de crise justement.

Un maître-mot : la planification.

Quel que soit la solution que vous allez mettre en œuvre, ou que vous avez mis en œuvre. Il faut anticiper au maximum et ne surtout pas prévoir trop faiblement les solutions, car les volumes peuvent être très importants. Chacune de ses solutions citées a des avantages et des inconvénients. Il faudra bien sûr trouver le bon équilibre entre l’activité de votre entreprise et la mise en place de cette cellule de crise.

Si vous souhaitez échanger sur ce sujet avec moi, n’hésitez-pas à me contacter via mon profil Linkedin.

Hervé Rigault, VP Business Development Teleperformance

Que pensez-vous de cette publication?
Laissez-nous un commentaire.

avatar

Code Anti-spam

*

Publications Associées

10 Avr

Réflexion stratégique

Les canaux digitaux et le selfcare au service de la gestion de crise

La crise provoquée par le Covid-19 est l’occasion pour les entreprises de faire preuve de résilience et d’adaptabilité. En effet, face à cette situation inédite, celles-ci déploient massivement et à grande vitesse le télétravail, et les spécialistes de la relation client ne font pas exception. Cette approche est une partie essentielle de la solution pour…

PAR: Teleperformance

20 Déc

Réflexion stratégique

Pics d’appels & dispositifs de crises

Quelles soient alimentaires, humanitaires, ou sociales, les crises dans l’actualité se succèdent. Mais on peut aussi parler événements particuliers, ce qui nécessite d’avoir des ressources pour appeler ou recevoir des appels. Les entreprises mais aussi le gouvernement ont recours à des dispositifs de crises. Quelles crises sont concernées et comment y remédier ? Qu’est-ce qu’une crise pour un centre de…

PAR: Teleperformance