AccueilRisques RGPD : quelle communication de crise ?Communiquer sur une criseRisques RGPD : quelle communication de crise ?

Risques RGPD : quelle communication de crise ?

RGPD communication de crise

Les défis posés par le RGPD du point de vue de la communication de crise

Les abus d’ampleur observés ces dernières années sur l’utilisation des données personnelles ont conduit le législateur européen à durcir davantage la législation en la matière. Les géants du net, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) sont souvent pointés du doigt médiatiquement pour les collectes de données opérées, parfois sans en avertir l’utilisateur. Pourtant, les plus petites et moyennes entreprises ne sont ni à l’abri des fuites de données ni à l’abri de sanctions qui pourraient abimer leur image, leur réputation et donc leur valorisation. Le RGPD contraint les entreprises à anticiper la communication de crise sur le sujet, notamment parce qu’ils obligent les entreprises à communiquer à la moindre faille.

Le Règlement Général sur les Données personnelles (RGPD) ou General Data Protection Régulation (GDPR) en anglais est un dispositif du parlement européen dont l’objectif est de mieux encadrer la circulation et surtout le traitement des données personnelles des personnes physiques afin d’en assurer la protection. Il remplace la loi « Informatique et Libertés » de 1978 qui donna naissance à la CNIL. Adopté le 27 avril 2016 et entré effectivement en vigueur le 25 mai 2018, le RGPD répond au besoin urgent de mieux protéger les citoyens européens des abus de certaines entreprises détenant dans le cadre professionnel leurs données personnelles. En effet, avec l’essor des TIC depuis le début des années 2000 ainsi que l’apparition de nouvelles disciplines et techniques telles que le tracking comportemental, le retargeting, le profilage mais aussi l’intelligence artificielle, il apparaissait important de mettre à jour la loi face aux masses colossales de données susceptibles d’être désormais stockées et exploitées par les entreprises et plus particulièrement les géants du net.

Le RGPD, un risque pour la réputation des organisations

Le RGPD est une épée de Damoclès. Il est une nouvelle source de pression pour les organisations en ce qu’il est un nouveau risque pour leur image et leur réputation. Et pour cause, selon une étude réalisée en mars dernier par NetApp, soit deux mois avant la date d’entrée en vigueur de la directive, 67% des entreprises estimaient encore ne pas être prêtes à accueillir le RGPD. Aussi, la même étude révélait que 51% des entreprises sondées étaient convaincues que la directive européenne porterait atteinte à leur réputation. Enfin, 35% du panel d’entreprises avouaient craindre pour leur résultat économique et les retombées financières résultant d’une non-conformité. La crise traversée par Facebook dans l’affaire Cambridge Analytica et les déboires qu’ont connus les deux entreprises par la suite, illustre la force de l’impact d’un scandale lié aux données sur une marque.

Quelles sont les conséquences du RGPD pour le communicant ? Comment le RGPD peut-il constituer un risque d’image pour l’entreprise, par exemple en obligeant les dirigeants à communiquer sur les fuites de données ? Comment dans ces cas, bien communiquer sans abîmer l’image et la réputation de l’entreprise  ? Enfin, comment anticiper la gestion de ce risque en travaillant une communication de crise adaptée ? 

Quelles sont les obligations prévues par le RGPD pour les entreprises ?

Les entreprises sont désormais tenues au respect de nouvelles obligations nées du RGPD. Ce sont :

– La nomination d’un Délégué à la Protection des Données ou DPD (Data Protection Officier, DPO en anglais). Ainsi, les organismes publics ou les entreprises privées dont la taille atteint une échelle donnée et donc qui détiennent par exemple des données à caractère sensible (dossier médical, casier judiciaire…) sont tenues de nommer un DPD en leur sein. Celui-ci sera entre autre chargé dans l’entreprise de gérer le strict respect des conditions de collecte, d’utilisation et de stockage des données détenues par l’entreprise. Il lui revient également de sensibiliser, d’orienter et de suivre périodiquement le responsable chargé de l’administration et de la gestion du système d’information (SI) au sein de l’entreprise ou le sous-traitant au cas où l’entreprise confie ces attributions à un prestataire externe à l’entreprise. Le DPD peut être un cadre occupant une autre fonction au sein de l’entreprise. Certaines entreprises confie ce rôle au responsable juridique d’autres encore au responsable des ressources humaines.

– Le respect du principe de protection des données et de la vie privée dès la conception et par défaut. En effet, le RGPD impose de veiller à la protection des données dès leur création (Privacy by design en anglais). Il incombe au DPD de prendre toutes les mesures nécessaires aussi bien aux plans techniques et organisationnels afin d’assurer à l’individu les droits que lui confèrent le RGPD. Par ailleurs, le RGPD introduit également la notion de protection de la vie privée par défaut (Privacy by default). Ce principe garantit un niveau de protection très élevé à la vie privée de l’individu. D’une part, la collecte des données est rigoureusement encadrée assurant que le strict minimum de données nécessaires au traitement soit réalisé et d’autre part, que seul un nombre restreint de personnes dans l’entreprise aient accès aux données collectées. Celles-ci ne devront servir qu’à un objectif défini et par ailleurs conservées le moins longtemps possible pour l’atteindre.

– La mise en place d’un mécanisme de destruction automatique des données une fois réalisée la tâche pour laquelle elles ont été collectées;

– Le suivi périodique des traitements effectués. Pour cela, il convient de constituer un registre des traitements des données. Ce registre doit consigner des informations telles que la durée et la finalité du traitement des données, la nature des données traitées, le responsable chargé de leur traitement, le temps de conservation des données, le lieu de leur stockage ou de leur transfèrement ou encore les mesures de protection mises en œuvre. C’est ce document qu’il faudra présenter lors des contrôles éventuels de la CNIL. Le registre n’est obligatoire que pour les entreprises de plus de 250 salariés et les entreprises collectant des données de nature sensible.

– La gestion des risques et la protection des données par l’identification des risques liés à la conservation des données ainsi que l’information des personnes concernées par des fuites de données. Pour cela, il est important de réaliser une étude d’impact sur la vie privée (EIVP) ou Privacy Impact Assessment (PIA) en anglais. Ainsi, avant de collecter et de traiter des données personnelles, une étude d’impact sur la sécurité des données doit être réalisée afin de limiter, voire d’éradiquer tout risque pour les personnes dont les données sont collectées. Ces études d’impact visent à mieux appréhender le risque et à en mesurer le niveau de gravité et de vraisemblance (probabilités de survenance). Ces études d’impact sur la vie privée des individus contiennent des informations telles que, par exemple, une note explicative sur le traitement et ses finalités, une évaluation des risques sur les droits et les libertés des personnes …

Dans le cas où un DPD constate un vol de données, il doit le notifier à la CNIL dans un délai maximale de 72 heures. Les personnes à qui appartiennent lesdites données devront être également informées le plus tôt possible.

Les sanctions prévues en cas de violations des règles définies par le RGPD sont un nouveau risque important pour les organisations.

Une échelle de sanctions est prévue pour les entreprises ne respectant pas le RGPD.

  • l’avertissement dans le cas où l’entreprise est à sa première infraction, l’infraction n’étant pas de nature grave et la mauvaise foi de l’entreprise n’étant pas formellement établie;
  • la mise en demeure de l’entreprise en cas de récidive;
  • la limitation temporaire ou définitive d’un traitement dans le cas où le dispositif mis en place par l’entreprise ne garantit pas la protection des données personnelles;
  • la suspension des flux de données;
  • l’obligation faite à l’entreprise de satisfaire aux exigences d’exercice des droits des personnes;
  • l’obligation faite à l’entreprise de procéder à la rectification d’une donnée ou de son effacement pure et simple.

Enfin, pour les cas de faute lourde, si la mauvaise foi de l’entreprise est établie par exemple, le RGPD prévoit des amendes administratives pouvant s’élever à 20 millions d’euros ou à 4% du chiffre d’affaires annuel mondial de l’entreprise. Dans ce cas, c’est évidemment le montant le plus élevé des deux qui est retenu.

Comment anticiper le risque pour l’entreprise ?

Six mois après la date d’entrée en vigueur de la directive, la CNIL a procédé à un bilan à mi-parcours. De ses statistiques, il ressort que 65% des violations notées sont effectivement le fait de piratages et de hameçonnages provenant de l’extérieur. Fait étonnant, 35% des violations provenaient tout de même de l’entreprise.

15% étaient dues à des erreurs humaines et 20% à des facteurs non précisés y compris des actes malveillants.

Comment gérer la communication de crise ?

La communication de crise du PDG de Facebook, Mark Zuckerberg a d’abord été particulièrement maladroite.

La stratégie de communication de crise la plus souvent utilisée jusque-là est l’aveu même si les entreprises concernées ont eu du mal à faire la transparence immédiatement sur l’ampleur de la situation de crise traversée.

Les entreprises plaident généralement la bonne fois. Dans le même temps elles ont parfois habilement jeter le tort sur un partenaire extérieur en l’occurrence un sous-traitant (appliquant la stratégie du bouc émissaire) tout en promettant de prendre les mesures idoines pour que tels incidents ne se reproduisent plus à l’avenir (mise en scène de leur mobilisation).

Le risque d’image et de réputation en cas de crise

Les chiffres du bilan de la CNIL au 16 octobre 2018 sont frappants :

  • 742 notifications de violations de données;
  • 421 cas de piratages recensés. Les secteurs les plus touchés sont l’hôtellerie (185 cas de piratages), le secteur de l’automobile ainsi que ceux de la banque et des assurances;
  • 33 millions de victimes en France comme à l’extérieur.

Les conséquences des fuites de données sur l’image et la réputation d’une entreprise peuvent être particulièrement dévastatrices. À la publication de ses résultats du 2eme trimestre, au lendemain du scandale avec Cambridge Analytica, l’entreprise Facebook avait perdu un million d’abonnés actifs. Mais n’est pas tout. Le cours de bourse du géant s’est effondré engendrant une perte de 16 milliards de dollars. Après avoir récemment décliné une convocation des parlements canadiens et britanniques pour explication, il reçut le 22 novembre 2018 des convocations de 8 autres parlements européens.

« Le RGPD pourrait faire perdre des plumes à de nombreuses entreprises. L’anticipation de la gestion de crise et d’une communication de crise adaptées doit permettre aux entreprises de préserver leur réputation en limitant les dégâts sur leur image. Le pire des risques face au RGPD est le manque d’anticipation, la réaction à chaud. » affirme Florian Silnicki, Expert en communication de crise et fondateur de l’agence LaFrenchCom.

La réglementation stipule que les atteintes à la protection des données doivent être signalées aux organismes de réglementation européens – et aux clients – dans un délai de 72 heures, ce qui « rend essentiel pour les entreprises de planifier à l’avance leur communication de crise sur les inévitables atteintes à la protection des données qui se produisent de plus en plus fréquemment », déclare Florian Silnicki.

« Les entreprises doivent effectuer sans attendre des exercices de simulation de crise en temps réels avec des cadres de haut niveau, les gestionnaires de risques de l’entreprise, des avocats et des membres de l’équipe de communication afin de tester la coordination de la riposte et l’efficacité de la réponse à la crise », dit Florian Silnicki.

À tout le moins, Florian Silnicki conseille aux communicants de « pré-rédiger des communiqués de presse de crise dédiés, des messages sur les médias sociaux, des questions et réponses aux médias et des courriers aux clients. Cela permet de gagner un temps précieux. »

Le RGPD, le nouveau règlement européen sur la protection des données et de la vie privée, a eu immédiatement un double impact sur les professionnels de la communication d’entreprise : Pour vous aider à comprendre ce qu’il faut faire, nous avons rassemblé cette liste de contrôle, classée par ordre d’importance et par ordre d’urgence.

Quelle communication de crise face au RGPD? Checklist.

Important et urgent : mettre à jour le plan de communication de crise
Le changement de loin le plus important que le RGPD apporte est l’obligation de signaler chaque « violation de données », c’est-à-dire chaque fois qu’une personne accède, modifie ou vole illégalement des données vous concernant. C’est un grand changement. Jusqu’à présent, les entreprises n’étaient pas tenues d’aviser les organismes de réglementation de la protection de la vie privée ou les personnes concernées des atteintes à leur vie privée.

Cela signifie qu’il appartenait aux entreprises de décider si, comment et quand communiquer sur les atteintes à la protection des données. En pratique, cela signifie que les entreprises choisissaient souvent de garder le silence sur les atteintes à la protection des données, même s’il s’agissait de cas graves de piratage, de détournement ou de vol, de vol de mots de passe ou d’espionnage (déversement de renseignements exclusifs sur Internet).

Ces dernières années, de nombreuses entreprises ont choisi de ne pas signaler les atteintes à la protection des données dans l’espoir que le problème disparaîtrait. Cela ne s’est pas toujours bien passé…

Notification à l’autorité de surveillance
Désormais, en cas d’atteinte à la protection des données, vous devez en informer l’autorité de contrôle de votre pays. Dans certains cas, vous devez également avertir les personnes concernées (les « personnes concernées », comme les appelle le RGPD) du fait que leurs données ont été violées.

La notification à l’autorité de contrôle doit être faite « sans retard injustifié » (et en tout état de cause dans les 72 heures).

Si vous n’êtes pas en mesure d’aviser l’organisme de réglementation dans ce délai, vous devez expliquer la cause du retard dans la notification. Il n’y a qu’une seule exception à cette règle : s’il y a « peu de risque » que les droits et libertés des personnes concernées soient en danger.

C’est votre équipe juridique qui décidera s’il y a lieu d’aviser les autorités de l’atteinte à la vie privée. Bien sûr, en tant qu’expert en communication, vous pourriez être appelé à les aider à communiquer l’atteinte à la vie privée.

En outre, la communication avec les autorités de surveillance comporte toujours le risque de fuites, surtout si vous travaillez pour une marque bien connue ou une institution importante (par exemple, une banque, un hôpital,…). La Direction de la communication de l’entreprise doit être impliquée dès le début de la crise afin d’évaluer le risque de fuites dans les médias et de préparer des déclarations réactives et d’attente pour les demandes des médias.

Notification aux personnes concernées

Si la violation crée un « risque élevé » pour les personnes dont vous stockez et traitez les données, vous êtes également tenu d’informer ces personnes.

La nature et la définition de ce « risque élevé » sont des sujets dont vous devrez – encore une fois – discuter avec les autorités de régulation. Cela peut être fait à l’avance lorsque vous effectuez une analyse des risques pour préparer votre plan de communication de crise.

Pour le RGPD, le « risque élevé » inclurait certainement :

  • impact financier : argent volé
  • données sur la santé, autres données privées comme des photos, des dossiers, des renseignements personnels et confidentiels comme des renseignements liés aux RH, etc.
  • impact sur la sécurité comme le vol des mots de passe

Vous devez au minimum indiquer aux personnes concernées pourquoi et comment vous avez conservé ces données (article 33) :

  • « décrire la nature de la violation des données à caractère personnel, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif de dossiers de données à caractère personnel concernés ;
  • communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où des informations complémentaires peuvent être obtenues ;
  • décrire les conséquences probables de l’atteinte à la protection des données personnelles ;
  • décrire les mesures prises ou envisagées par le responsable du traitement pour remédier à l’atteinte à la protection des données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets négatifs. »

Communiquer au sujet d’une atteinte à la protection des données signifie que les chances sont exponentiellement plus élevées que les médias s’en mêlent. Surtout lorsque votre marque est connue ou que le type de données que vous stockez suscite l’attention (argent, photos, dossiers d’hôpital ou d’emploi,…).

2. Politique de confidentialité et de protection des données – existence et lisibilité

Vous avez peut-être remarqué la référence à un langage « clair et simple » dans la partie sur les atteintes à la protection des données.

L’obligation de communiquer dans un langage clair et simple n’est pas seulement une exigence dans le cas d’une atteinte à la protection des données. C’est une constante. L’UE souhaite que les consommateurs comprennent quelles autorisations ils accordent et comment les entreprises utiliseront leurs données. Cela signifie que les politiques de confidentialité et de protection des données ne peuvent plus être rédigées dans le jargon juridique auquel nous sommes habitués.

En tant que direction de la communication de l’entreprise, vous aurez probablement besoin d’aider vos collègues d’autres services (comme les RH, la réglementation et les services juridiques) à rédiger des politiques de confidentialité clairement compréhensibles.

3. Impact potentiel sur la réputation : droit d’accès

Un tout autre type de risque découle du fait que les personnes concernées peuvent vous demander de leur donner accès aux informations que vous conservez à leur sujet.

Tout d’abord, vous devez répondre à leurs questions à savoir si vous conservez ou non des données à leur sujet.

Si vous stockez des données, vous devez être en mesure d’expliquer pourquoi vous recueillez et traitez les données, quel type de données vous recueillez, où vous les avez obtenues (si vous ne les avez pas recueillies vous-même) et combien de temps vous prévoyez les conserver.

Vous devez également expliquer le fait que les personnes peuvent demander la rectification ou l’effacement de leurs données personnelles et qu’elles ont le droit de déposer plainte auprès de l’autorité de contrôle.

Enfin, si vous utilisez l’intelligence artificielle ou la logique automatisée pour prendre des décisions à leur sujet, vous devez expliquer comment la logique fonctionne. Par exemple, si vous avez un algorithme qui décide si les gens recevront ou non un prêt, vous devez être en mesure d’expliquer comment l’algorithme décide si vous êtes admissible au prêt.

Presque toutes ces demandes d’accès peuvent créer des problèmes de réputation pour votre entreprise. Le volume de données que vous stockez pourrait être important pour les médias (comme dans le cas de l’étudiant autrichien Max Schrems, qui s’est battu sur Facebook).