Confidentialité des données en entreprise
L’importance de la confidentialité des données dans l’éthique et la conformité
La législation en matière de protection des données en entreprise a évolué et pris de l’ampleur au cours des dernières années. Dans le même temps, nous produisons de plus en plus de données personnelles et les partageons avec de nombreux tiers. En Europe, depuis l’entrée en vigueur du RGPD, ce sont plus de 2,5 milliards d’euros d’amendes qui ont été prononcées par les autorités de protection des données afin d’en appliquer les dispositions. La conformité s’impose ainsi comme un sujet majeur pour les entreprises si elles ne veulent pas s’exposer à des amendes financières voire des sanctions pénales ainsi qu’à des dommages de réputation. Il est indispensable d’adopter une approche proactive pour protéger les données de vos clients et employés pour s’imposer en tant que partenaire de confiance auprès de vos collaborateurs, clients et fournisseurs.
Certaines sociétés sont aujourd’hui spécialisées dans la confidentialité et la sécurité des données touchant aux thématiques de l’éthique et de la conformité. En effet, si vos employés souhaitent signaler un manquement éthique, un comportement inapproprié ou une action suspicieuse, il est crucial qu’ils se sentent en confiance de divulguer de telles informations. Une ligne d’assistance externe dédiée aux lanceurs d’alerte permet par exemple d’enregistrer les informations anonymes ou non de vos employés, telles que leur nom, poste occupé, leur service et la nature du signalement.
LES PRINCIPES DE LA CONFIDENTIALITÉ DES DONNÉES
Conditions de la collecte des données personnelles
Les données à caractère personnel doivent être collectées dans le respect de la loi et d’un traitement équitable et avec le consentement de la personne concernée.
Définition claire de l’objectif
Les données à caractère personnel ne doivent être collectées que lorsque l’objectif de cette collecte est divulgué au moment de la collecte et que leur utilisation ultérieure est limitée à l’objectif prévu ou lorsque l’utilisation n’est pas en contradiction avec l’objectif indiqué.
Qualité des données
Les données à caractère personnel doivent être pertinentes quant à l’objectif initial de leur collecte, précises et à jour.
Transparence
Les données à caractère personnel doivent faire l’objet d’une politique plus globale de transparence concernant les développements, les pratiques et les politiques. Cette politique doit notamment proposer un moyen d’identifier les données à caractère personnel, l’objectif de leur utilisation et l’identité du responsable du traitement des données (définition dans le cadre du traitement des données tel que référencé par le RGPD).
Mesures de sécurité
Les données à caractère personnel doivent être protégées par des mesures de sécurité raisonnables afin d’empêcher la perte, l’accès non autorisé, la destruction, l’utilisation, la modification ou la divulgation des données.
Contrôle individuel sur les données personnelles
Toute personne doit pouvoir conserver le contrôle sur ses propres données et notamment savoir si un responsable du traitement dispose de données à caractère personnel la concernant. Cela comprend notamment la possibilité d’interroger un responsable du traitement sur sa possession ou non d’de données à caractère personnel, le fait de savoir pourquoi une éventuelle demande d’information lui est refusée, ainsi que l’effacement ou la modification de ses données personnelles.
Limite d’utilisation
Les données à caractère personnel ne doivent pas être partagées ni divulguées à des fins autres que celles qui sont indiquées, sauf si la personne concernée a donné son consentement ou que la loi applicable l’exige.
Responsabilité
Un responsable du traitement des données personnelles doit être tenu responsable du respect des principes. Ces principes sont élaborés sur les huit principes fondamentaux de l’Organisation de coopération et de développement économiques (OCDE).
Comment aborder la confidentialité des données
1.
Développez et appliquez un code de conduite qui explique votre culture d’entreprise et sert de point de départ pour toutes les politiques et procédures créées.
2.
Utilisez un programme de gestion des politiques et des procédures pour chaque intervenant ou partenaire de votre entreprise réduire le risque juridique.
3.
Mettez en œuvre une formation efficace en matière de conformité, aussi bien auprès de vos cadres dirigeants que de vos employés pour renforcer cette culture éthique.
4.
Familiarisez-vous et maîtrisez les exigences du RGPD. Déterminez dans quelle mesure ses dispositions impactent vos activités.