blog
/
blog
/
10 questions pour comprendre la protection des données

10 questions pour comprendre la protection des données

Partager :

Selon le baromètre 2022 du CESIN, 54% des entreprises déclarent avoir subi au moins une cyberattaque en 2021. 30% d’entre elles ont conduit à des vols de données personnelles. Il est vrai que les cyberattaques sont de plus en plus élaborées et fréquentes. Ainsi, la protection des données personnelles est plus que jamais un enjeu essentiel, notamment dans le secteur de la Supply Chain, c’est pourquoi dans cet article nous l’expliquerons à travers 10 questions :

1. Qu’est-ce que le RGPD ?

RGPD est le sigle signifiant Règlement Général sur la Protection des Données. Les entreprises ont accès à de plus en plus de données sur les individus. Et ce, d’autant plus avec le développement du e-commerce et plus généralement du digital. Ainsi, le RGPD permet d’encadrer la gestion et le traitement de ces dernières. En France c’est la CNIL (Commission nationale de l’informatique et des libertés) qui le régit. De plus, depuis mai 2018, l’Union Européenne a renforcé les obligations légales. Cela représente un tournant pour le traitement des données. Il est vrai que cette nouvelle réglementation crée de nouvelles contraintes pour les entreprises B2B comme B2C. En effet, elles vont devoir examiner en détail leurs processus de collecte, stockage et gestion afin de s’assurer qu’elles respectent bien les obligations de consentement et de restitution d’informations collectées notamment.

2. Qui est concerné ?

Sont concernées, toutes les organisations qui traitent des données personnelles d’une manière ou d’une autre. En effet, qu’elles soient publiques ou privées, les organisations qui disposent de bases de données clients par exemple, sont soumises au RGPD et doivent y accorder beaucoup d’importance. 

3. Qu’est ce que le cyberscore ?

En mars 2022, une nouvelle loi concernant la cybersécurité a été adoptée. Celle-ci implique la mise en place – sous certaines conditions – d’un cyber score. Ce dernier est une certification de cybersécurité des plateformes numériques destinée au grand public. Il s’agit d’un système de notation dont la note pourra varier de A (très bien) à E (très mauvais) à l’image du nutriscore pour des produits alimentaires. Cela permet aux internautes d’évaluer le niveau de sécurité des sites et réseaux sociaux qu’ils fréquentent et auxquels ils confient leurs données. Un décret devrait lister les sites et plateformes visés en fonction de certains critères comme le niveau de fréquentation. Ils auront alors l’obligation d’informer les internautes de la protection de leurs données et de la localisation de l’hébergement de ces dernières. Cette nouvelle loi de cybersécurité entrera en application dès le 1er octobre 2023.

4. Quelles sont les données concernées ? 

Les données concernées sont toutes celles à caractère personnel que nous pouvons retrouver dans des bases de clients notamment. Ainsi, nous pouvons citer comme exemple le nom, l’état civil, l’email, l’adresse, le téléphone, les données bancaires, etc. Au-delà de ces données, certaines d’entre elles appartiennent à une catégorie spéciale. En effet, les données concernant les opinions religieuses, politiques et syndicales, mais également les données de santé, les données biométriques, le numéro de sécurité sociale, etc. sont dites données sensibles. Elles demandent encore plus de vigilance. Remarquons également que les données telles que celles fournies par un TMS ou un WMS sont concernées.

5. Qu’est-ce que l’obligation d’information et de transparence ? 

Les personnes dont les données sont collectées disposent de droits afin de garder le contrôle sur celles-ci. En effet, lors d’une collecte de données – qu’elle soit directe ou indirecte – le RGPD oblige l’information préalable aux utilisateurs de plusieurs points. Parmi eux, nous retrouvons : 

  • l’identité du responsable de traitement des données ;
  • la finalité ;
  • le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
  • les destinataires des données ;
  • le durée de conservation des données ;
  • leurs droits (droit d’accès, de rectification, et d’opposition) ;
  • les éventuels transferts de données vers des pays hors UE.

En outre, si ces personnes demandent plus d’information, les organisations doivent respecter un délai d’un mois pour fournir une réponse.

6. Qu’est-ce que le privacy by design et le privacy by default ? 

Le RGPD prévoit des principes de privacy by design et de privacy by default afin de renforcer la protection des données des utilisateurs. D’un côté le privacy by design, dans ce cas, la protection des données est considérée dès la conception d’un produit ou un service. Autrement dit, il s’agit dès le départ d’une préoccupation pour les développeurs. De l’autre côté, le privacy by default va au-delà de cette considération dès la conception. En effet, cette fois, la protection des données doit être à son niveau maximum et mise en place d’office. En d’autres termes, aucune intervention de l’internaute est nécessaire, la protection maximale des données est activée par défaut.

7. Quelle est la différence pour les entreprises B2B et B2C?

La majorité des règles s’applique de la même manière pour les organisations B2B et les organisations B2C. Néanmoins, concernant la prospection commerciale par mail, nous notons une différence de réglementation. En effet, pour le B2C, le RGPD interdit l’envoie d’un mail commercial sans l’accord préalable du destinataire. Cependant, la CNIL retient tout de même une exception : si la personne a déjà été cliente de l’entreprise pour un produit similaire.
Du côté du B2B, la réglementation prévoit qu’il est possible d’appliquer l’opt-out, c’est-à-dire de ne pas recueillir forcément le consentement du client avant l’envoi d’emails commerciaux. Néanmoins, il est important de préciser que la personne doit, au moment de donner son adresse mail, être informée que celle-ci pourra être utilisée à des fins de prospection. L’opposition doit être simple et gratuite pour la personne.

8. Quelles sont les sanctions possibles ?

Le non-respect du RGPD engendre différentes sanctions. Tout d’abord, il faut savoir que les consommateurs accordent de plus en plus d’attention à la protection de leurs données. Ainsi, cela représente un réel argument décisionnel d’achat et influence fortement la réputation de l’organisation. En cas de non-respect du RGPD, l’image de l’organisation se voit alors détériorée. De plus, la CNIL peut également sanctionner lors d’une enfreinte au RGPD. En effet, elle réclame des amendes parfois lourdes de l’ordre de 2 à 4% du CA annuel global de l’organisation ou entre 10 et 20 millions d’euros. Selon une étude menée par DLA Piper, les montants des amendes ont augmenté de 39 % en 2020, pour atteindre 158,5 millions d’euros.

9. Quelles sont les bonnes pratiques à suivre ? 

Quelques bonnes pratiques peuvent être adoptées afin de respecter le RGPD et encourager une forte cybersécurité pour les organisations. En effet, la CNIL recommande par exemple de constituer un registre du traitement de données et d’être vigilant, lors de la mise en place, sur la sécurisation des données. De plus, il s’agit d’effectuer régulièrement un tri dans les données en les contrôlant et supprimant ce qui ne doit pas apparaître. En outre, il semble judicieux d’informer clairement les clients sur l’utilisation de leurs données et rester disponible en cas de réclamation. Autrement dit, il faut respecter les droits des personnes et l’obligation d’information et de transparence des organisations. Enfin, anticiper et connaître les démarches en cas de violation de données (déclaration à la CNIL et aux utilisateurs concernés) est également essentiel. 

10. Pourquoi la Supply Chain est-elle particulièrement exposée ? 

Une grande diversité de données est générée par les logiciels de logistique tout au long de la Supply Chain. En effet, des outils comme un TMS ou un WMS enregistrent et gèrent de nombreuses données, notamment des données personnelles telles que des adresses ou des noms. De plus, nombreuses d’entre elles sont stratégiquement précieuses, ainsi, il est naturel de souhaiter les conserver. Néanmoins, il faut être vigilant sur la protection et la sécurité de celles-ci. Ainsi, il est important de surveiller les systèmes d’information utilisés. En outre, les fournisseurs avec lesquels nous collaborons ont également un rôle à jouer. C’est pourquoi, il est nécessaire de vérifier la sécurité de ses partenaires afin d’avoir une stratégie holistique. Pour ce faire, il est recommandé de rédiger des contrats déterminant les responsabilités de chacun. 

Enfin, en tant qu’éditeur, Acteos accorde beaucoup d’importance à la sécurité des logiciels vendus. En effet, les éditeurs de logiciel de Supply Chain doivent vérifier la mise en œuvre des règles nécessaires et des mesures de sécurité. Cela permet de garantir la conformité à chaque fois qu’il y a un stockage ou traitement de données. D’autant plus que, d’après le rapport Gartner 2023, 42% des utilisateurs affirment que la sécurité est le facteur le plus important lors de l’investissement dans un logiciel de Supply Chain. Cela représente donc un enjeu primordial et oblige les éditeurs à plus de transparence, notamment sur certaines tâches qui peuvent être sous-traitées comme l’hébergement.

Partager :