RGPD : Réduire vos risques, protéger vos clients

RGPD

RGPD : Réduire vos risques, protéger vos clients

Vous respectez les normes du RGPD, mais vous pouvez toujours être victime d’une violation, et les amendes sont élevées. Comment pouvez-vous minimiser les risques?

D’ici le 25 mai 2018, les entreprises faisant affaire avec des résidents de l’UE devront se conformer aux normes du règlement général sur la protection des données (RGPD) ou risquer des amendes allant jusqu’à 20 millions d’euros, ou 4% de leurs bénéfices mondiaux annuels. Mais même si votre entreprise respecte le règlement, les pirates informatiques continueront d’essayer d’obtenir vos données, et s’ils réussissent, vous pourrez faire face à des poursuites en recours collectif et à la destruction de la confiance des consommateurs durement acquise.

Et vous pouvez toujours faire face aux amendes du RGPD.

L’actualité est pleine de bonnes raisons qui justifient la méfiance des consommateurs, par exemple la violation d’Equifax en 2017 lorsque 143 millions de documents ont été volés, y compris les numéros de sécurité sociale qu’ils contenaient. Mais si vous pouvez prouver que vous avez pris toutes les mesures possibles pour protéger les personnes qui comptent sur vous, vos clients et les tribunaux sont plus susceptibles de vous donner le bénéfice du doute.

Le chiffrement est une étape obligatoire qui fait partie du RGPD, donc en vertu du règlement, vous devez convertir vos données en un format codé, difficile à ouvrir qui gère l’authentification, l’intégrité et la non-répudiation. Mais vous devez également mettre en œuvre la minimisation et la dé-identification des données.

En termes simples, la minimisation des données signifie que vous ne demandez ni ne conservez plus que nécessaire, tandis que la dé-identification supprime temporairement les liens entre les points de données et les individus qu’ils décrivent.

1. Minimisation des données

Avec autant de données personnelles disponibles, il peut être tentant de collecter et de recouper de nouvelles informations pour en savoir plus sur vos clients. Mais les consommateurs n’aiment cela et se méfient de plus en plus pour partager leurs données. Ainsi, alors que le nom et le numéro de téléphone d’un proche sur un compte de services financiers pourraient aider à vérifier la famille en cas de décès du titulaire du compte, demander les données relatives au lieu de travail du proche, c’est aller trop loin. Et vous dépassez les bornes si vous utilisez les données à des fins non acceptées par le client.

Le RGPD indique explicitement que vous devez limiter la quantité de données que vous collectez, ainsi que la manière dont vous les utilisez. Il indique également que vous ne pouvez utiliser les données qu’à des fins légitimes, et souligne l’importance d’avoir un plan pour détruire les informations une fois l’utilisation convenue terminée.

Et franchement, moins de données signifie qu’il y a moins à voler.

2. Dé-identification

Dans certains cas, votre établissement peut avoir besoin de certaines données liées directement aux noms des personnes, par exemple, la conservation des noms, des numéros de compte et des adresses pour la génération des relevés de compte. Cependant, d’autres groupes de travail n’auront pas besoin d’informations d’identification, mais devront peut-être pouvoir mettre un lien plus tard.

La dé-identification est différente de l’anonymisation, les informations sont toujours liées, mais des mesures sont prises pour les masquer. Il peut s’agir de donner des pseudonymes à des personnes, plus « k-anonymisation », qui cache ou remplace des détails qui pourraient exposer une identité, comme une date de naissance.

Comme partie du chiffrement, la dé-identification rend encore plus difficile l’utilisation d’informations volées par les pirates informatiques.

Les avantages de la réduction des risques

Bien que ce soit une loi de l’UE, il est utile de se conformer au RGPD, peu importe où votre entreprise fait des affaires. Le respect de ces normes, la minimisation de la collecte de données et la dé-identification vous aideront à protéger votre réputation, à motiver vos clients et à réduire votre risque global.

Vous voulez en savoir plus? Cliquez sur le lien ci-dessous pour regarder une discussion approfondie avec la créatrice de Privacy by Design, Dr. Ann Cavoukian, et savoir comment vous préparer pour le RGPD.

 Par Alex Loo, vice-président des opérations, Echoworx