Série PME et Vie privée
Sens de vie privée Eviter les pièges Boîte à outils

Risques « vie privée », éviter les pièges EN

Cet article est le second d'une trilogie sur la vie privée, signée Irene Silberstein. Il aborde l'angle juridique et commercial et comment éviter les pièges pour les PME.

Risques vie privée Eviter les pieges

J'ai écrit cette série pour les PME ayant une présence en ligne et les responsables de sites web : sociétés, commerces et tout professionnel, expert, freelance, créateur, publication, conseil, agence, artiste et bien d'autres métiers.

Alors que je cherchais un moyen d'accès convivial à nos sites web thématiques pour nos visiteurs et utilisateurs, j'ai débouché sur une dissonance sémantique (1) entre les discours et la réalité.

Une telle dissonance conduit facilement à une dissonance cognitive (2) qui nous met mal à l'aise.

Note 1.
a- nom - La science du sens (le sens porté par un mot ou une expression).
b- adj - relatif au sens
Note 2.
Dans le domaine de la psychologie, la dissonance cognitive est la perception d'informations contradictoires.

Il en est résulté une analyse approfondie de notre propre cas et un module informatique permettant de mettre les résultats en pratique.

Dans l'article ci-dessous, je me concentre sur les risques pour l'entreprise, sur la manière de les neutraliser et sur la façon de les tourner à votre avantage.

Temps de lecture moyen : 20 minutes.
Pas le temps de lire maintenant ? Aucun problème.
Accédez librement à nos ressources et téléchargez l'article

Your email (secure), anonymize if you wish, (Example: AnonAddy (2nd Window).

Responsable des données de vos clients Responsable des données de vos clients

Responsable des données de vos clients, vous en assumez les risques juridiques et commerciaux, la sécurité et la confidentialité

Quelles données ?

Je fais la distinction entre les données privées et confidentielles, et j'utilise
--privé pour les données personnelles
--confidentiel pour les données professionnelles.

Au sein d'i.S.k.i.v. Ltd, nous veillons aux deux.

Un mot sur la confidentialité dans un contexte BtoB : Pour une entreprise, un projet est confidentiel tant qu'il n'a pas été rendu public. Ainsi, ce n'est pas la nature du projet, mais les circonstances qui le rendront confidentiel le cas échéant.

Quels risques et pourquoi ?

Plus vous demandez de données personnelles, plus vous devez en stocker dans des fichiers.

Stocker des fichiers + les brèches = une menace pour vous

Regardez. Les vols de données sont de plus en plus nombreux.

Ils se produisent principalement parce que les entreprises stockent des données personnelles dans des fichiers : noms et adresses, numéros de téléphone, numéros de carte et plus encore ; et aussi parce qu'elles ne les protègent pas correctement.

Le propriétaire de Facebook ayant affirmé que la vie privée appartient au passé, cela ne devrait pas nous surprendre.

Souvent, les vols sont dus au fait que les entreprises sous-traitent des tâches à des fournisseurs non éthiques ou incompétents, ou les deux.

Depuis août 2020, un risque accru d'amende

Le 16 juillet 2020, à l'initiative de Max Schrems, la Cour de justice de l'Union européenne (CJUE) a jugé que tout service de cloud hébergé aux états-Unis est incapable de se conformer au RGPD et aux lois européennes sur la protection de la vie privée.

En effet, l'arrêt de la CJUE a invalidé le cadre RGPD-protection de la vie privée UE-états-Unis a été invalidé en raison des divergences importantes entre les lois européennes et américaines sur la protection de la vie privée.

Pour toute entreprise qui exploite un site web dans l'UE, l'EEE ou l'un des pays, états ou régions ayant adopté un règlement sur la protection de la vie privée, ou si vous avez du trafic provenant de visiteurs de ces pays, états ou régions, vous risquez une amende.

Par exemple, si vous utilisez Google Analytics, c'est Google qui détient les données, pas vous. Vous ne disposez donc pas des données nécessaires pour vous conformer à la réglementation en matière de protection de la vie privée. Dans une certaine mesure, cela peut aussi s'appliquer aux réseaux sociaux.

Depuis août 2020, un risque accru d'indemnisation

Comme l'a souligné Max Schrems, « il est clair que Google et Facebook tombent sous le coup des lois de surveillance américaines telles que la FISA 702 ». Quiconque utilise encore Google Analytics ou Facebook risque désormais de se voir infliger des amendes et des dommages et intérêts.

Autre exemple, depuis septembre 2021 le responsable de la protection de la vie privée de l'UE enquête sur l'utilisation des services cloud américains. Le responsable de la protection de la vie privée de l'Union européenne examine minutieusement l'utilisation des services cloud d'Amazon et de Microsoft par les organismes du secteur public européen.

Avertissement : outre le risque d'amende, un client peut poursuivre en justice pour non-respect de la réglementation en matière de protection de la vie privée toute entreprise exploitant un site web dans l'UE, l'EEE et maintenant de nombreux autres pays, états ou régions ; ou encore lorsque vous recevez du trafic de visiteurs de ces pays, états ou régions.

Risque de commettre une infraction pénale

Risque lié au contrôle d'identité : Dans de nombreuses juridictions, le respect des nouvelles règles en matière de contrôle d'identité peut conduire à une infraction pénale.

Un impact commercial bien caché Un impact commercial invisible

La tendance dominante actuelle consiste à encourager les activités en ligne à adopter des pratiques mortifères pour elles :

  1. Défiance à l'égard des clients et des consommateurs
  2. Recours à un sous-traitant pour les tâches qui doivent être effectuées en interne.
  3. Se protéger des contacts directs des clients et des consommateurs en utilisant des robots.

De telles pratiques non seulement exposent la vie privée, mais placent l'entreprise face à un manque alarmant d'informations sur ses clients.

Quand je parle d'informations sur les clients, je ne parle pas d'identité, de date de naissance ou d'adresse.
NON, il s'agit au contraire de savoir

  • Comment et pourquoi un client utilise votre service ou produit
  • Si un incident est survenu qui pourrait décourager de continuer avec vous ?
  • Y aurait-il une raison pour laquelle votre client a arrêté de commander...
  • Pourquoi les clients à long terme continuent-ils à vous faire confiance.

Ce dont vous avez besoin concerne donc l'UTILISATION, l'USAGE et non les données privées.

La tendance mortifère aujourd'hui consiste à examiner de près vos clients potentiels ou existants
tout en recrutant des prestataires de services en toute confiance en se fiant à leur brillance sur le marché.

Il s'agit d'une dissonance et d'un glissement sémantique majeurs qui induisent progressivement des pratiques erronées.

Auditez vos besoins professionnels réels Auditez vos besoins professionnels réels

Compenser l'impact commercial

Considé vos propres intérêts

Pour répondre à vos besoins professionnels,

  • examinez vos fournisseurs potentiels ou existants
  • mais recrutez les clients en vous fiant à leur choix et apprenez pourquoi ils vous ont choisi.

Pour accueillir des clients, il est préférable de vous fier à des humains pour l'accueil qu'à des procédures(3) contrôlées par des robots.

Note 3.
Trè bientôt une série sur les pratiques commerciales et de vente.

Voyez-vous maintenant pourquoi je signale une dissonance majeure ?

Les entreprises qui survivront à la crise actuelle sont celles qui savent ou apprendront rapidement à communiquer avec leur environnement et à échanger avec leurs clients, partenaires et fournisseurs.

Les cabinets de conseil les plus réputés reconnaissent que la qualité du service client fera la différence.

Améliorer votre accueil client

Cocooning de l'utilisateur

Donnez la priorité à la convivialité, concevez, optimisez et testez pour les visiteurs et les clients..

Critères majeurs pour un site web Criteres web essentiels

Si vous communiquez par le biais d'un site web, faites en sorte qu'il soit simple, facile, accueillant et rapide, tant pour vous que pour votre client. C'est pourquoi les performances du site web sont d'une importance capitale.

Examinez dans quelle mesure votre site Web répond à vos pratiques car cela permet d'économiser du temps sur chaque commande.

Fournir un service

Pour chaque élément d'information collecté par votre entreprise, demandez-vous et demandez à votre équipe

---Avons-nous besoin de ces informations pour fournir notre service ?

--- Si vous répondez oui, la question est de savoir oü nous stockons et comment nous protégeons les données collectées.

---Qu'en faisons-nous ?

Des données personnelles sont-elles utiles ?

En effet, à quelques exceptions près, ceux qui fournissent des services, de l'expertise, des logiciels ou du Saas n'ont pas besoin de données personnelles de leurs clients pour les intégrer et fournir le service.

Connaître l'utilisation et l'intérêt du service pour le client permet de comprendre ce qui motive le client. En revanche, les données personnelles sont inutiles.

En outre, plus nous collectons de données, plus leur traitement devient complexe et coûteux. Plus il nécessite de temps.

Cela ne m'était pas apparu lorsque j'ai commencé mes recherches.

Mais en examinant des cas et en recherchant des solutions simples pour notre entreprise,
J'en suis venue à remettre en question notre besoin de « données personnelles » et de fichiers associés.

Il n'est certainement pas nécessaire de maintenir un fichier pour stocker des données dont l'entreprise ne se sert pas.

Nous verrons dans la partie suivante que cette constatation est cruciale : car elle débouche sur une foule de solutions possibles, toutes simples à mettre en oeuvre.

Bien sûr, nous avons toujours pris soin des données privées et confidentielles et nous continuons à le faire. Comme beaucoup d'autres, je considère la protection de la vie privée et de la confidentialité comme des pratiques vitales.

La meilleure solution de connexion

Lorsque j'ai commencé à rechercher la meilleure solution de connexion pour nos clients, comme d'autres, j'ai envisagé le SSO (pour single sign on - connexion unique) et, bien sûr, j'ai fini par faire des recherches sur ... les fournisseurs d'identité.

Ce n'est que lorsque j'ai commencé à mettre en place les formulaires que la vérité a éclaté : nous ne sommes pas concernés par l'« identité », et ne l'avons jamais été.

C'est ainsi que tout a commencé par un rapide audit de notre propre situation,
pour questionner les besoins liés à la vente de services.

Quelles sont les besoins effectifs ?

Lorsqu'on vend des Services

Nous servons-nous de données personnelles ? NON, pas du tout, pas même un nom complet, un nom d'utilisateur suffit.
Juste une adresse e-mail pour communiquer dans les deux sens.

Un détail concernant les projets professionnels : lorsque nous collaborons à un projet qui deviendra public un jour, peut-être que le client souhaitera conserver une sauvegarde des versions préliminaires, mais pour notre part nous n'avons donc aucune raison de conserver les fichiers.

Notre situation n'a rien de spécial, nous collaborons à des sites web, des catalogues, des événements virtuels, des campagnes de marketing créatif, des stratégies de promotion, des recherches d'informations, des déclencheurs de trafic et plus encore. Notre situation est commune à de nombreux consultants.

Nous avons fini par trouver une solution distincte et respectueuse de la vie privée. Néanmoins, pour le confort du client, l'idée d'une authentification unique reste séduisante. Ce que je souligne cependant, c'est que le SSO n'implique pas le contrôle des identités.

Cela signifie que nous pouvons utiliser pour la convivialité un accès unique à plusieurs sites web par exemple ; mais, du moins dans notre cas, l'identité est sans objet.

Un produit physique est-il si différent ?

Le vendeur utilise-t-il des données personnelles pour son propre usage ?

Certainement pas. Seuls le transporteur ou le bureau de poste ont besoin du nom et de l'adresse et éventuellement d'un téléphone pour assurer le service de livraison.

Si le vendeur ne connaît pas ces données personnelles, que seul l'acheteur les transmet au transporteur et que le vendeur ne les consigne pas, alors seul le transporteur ou la poste les conservent comme preuve de leur propre service.

En cas d'enquête de police, cela suffit à décharger le vendeur de toute responsabilité.

S'interroger sur le besoin réel de données permet d'en réduire le nombre et d'éviter tout stockage superflu :
moins vous gérez de données, plus faibles sont les risques de vol.

Examinons maintenant d'autres moyens d'éliminer les risques.

Eviter les pièges Comment éviter les pièges ?

Lorsque vous choisissez des outils ou des fournisseurs, faites toutes les vérifications nécessaires.

1. Comprendre les fonctions et les données utiles

réduire au minimum les données que l'entreprise utilise réellement.

Auditez votre cas. Minimisez les données, vos données comme celles du client.

2. Identifier vos obligations légales

Dans l'UE et au Royaume-Uni, il existe une distinction unique : Avec moins de 250 employés, il n'y a pas d'obligation d'enregistrement en vertu du RGPD.

Les règlements relatifs à la protection de la vie privée ne visent
que les « données personnelles ».
La définition peut se résumer à :
---Toute donnée qui permet, seule ou avec d'autres données, d'identifier un individu.

Une adresse électronique peut éventuellement échapper à cette définition. Cependant, si l'adresse électronique contient le nom et le prénom de la personne, elle devient bien sûr une donnée personnelle. Vous pouvez cependant encourager vos utilisateurs à utiliser des adresses électroniques non identifiables.

Si vous employez moins de 250 personnes et ne stockez que des adresses électroniques, dans l'UE et au Royaume-Uni, vous n'avez pas besoin d'un délégué à la protection des données. Mais vous pouvez cependant en nommer un si vous le souhaitez.

Au Royaume-Uni, vous pouvez savoir si vous devez payer une taxe de protection grâce à l'évaluation rapide proposée par le site web de l'ICO :

https://ico.org.uk/for-organisations/data-protection-fee/self-assessment/y

En France la CNIL ne gère plus de registre et en laisse le soin à l'Union européenne !

3. Prenez en compte les cookies

Chez iSkiv, nous n'avons jamais utilisé de cookies. Non pas pour des raisons de confidentialité, mais parce que je trouvais cette technologie difficile à gérer efficacement et peu performante.

Identifiez vos faiblesses potentielles

Cookies

En raison de l'abus du tracking (traçage), les cookies sont devenus un cauchemar pour le visiteur(4) comme pour le client. Les activités en ligne demandent tout à la fois des visiteurs et des clients.
Pourquoi les décourager de vous rendre visite ?

Mais après le RGPD, il s'est révélé extrêmement intéressant de ne pas utiliser de cookies.

Pourquoi ?
Pas de cookie = pas de suivi, pas de consentement nécessaire.
C'est beaucoup plus simple, n'est-ce pas ?

Note 4
Nous publierons prochainement une série sur les cookies.

Les activités en ligne demandent tout à la fois des visiteurs et des clients.
Pourquoi les décourager ?

Absence de Vérification préalable pour les fournisseurs

Comment choisir un fournisseur et quels sont les aspects à prendre en compte ?

Quels critères et quelles sources utiliser ?

Etapes pour éliminer les risques

--Risques liés à la protection de la vie privée des clients, à la sécurité des données, à la confidentialité et à la fiabilité.

  1. Ne conservez les données privées et confidentielles que si vous en avez un besoin permanent pour votre activité.
  2. Si vous stockez des données, choisissez judicieusement votre solution de stockage et son emplacement.

    Vous trouverez des informations à ce sujet dans le dernier article de cette série, la boîte à outils.

  3. Soyez prudent lorsque vous choisissez un sous-traitant :
  • Ne confiez vos contrats qu'à des sous-traitants que vous connaissez.
  • Enquêter sur leur charte éthique
  • Ne faites pas appel à un sous-traitant en dehors de votre pays ou de votre région pour la confidentialité.
  • Si vous vendez à des clients dans d'autres régions, renseignez-vous
  • Vous pouvez utiliser les documents et rapports de certaines sources pour mener votre enquête de conformité.
  • Envisagez un traitement en interne lorsque la sécurité et la propriété des données sont en jeu..

Dans la boîte à outils, vous trouverez un outil qui vous fournit des modèles actualisés pour mettre en oeuvre la confidentialité, le consentement aux cookies et les conditions.

Une solution simple : Zero-knowledge

Une solution privée simple : la connaissance zéro

Une approche stricte de la connaissance zéro est à la fois une excellente protection de la vie privée pour les données du client et une solution simple et sûre du côté du vendeur.

Soyons clairs : nous ne parlons PAS de la preuve à connaissance zéro, de la preuve basée sur la connaissance zéro ou de la confidentialité basée sur la connaissance zéro, qui sont des méthodes cryptographiques impliquant un tiers - le vérificateur.

Je dois créditer quelques entreprises pour leur approche de la confidentialité à connaissance zéro : Spiredoak (USA) dans le domaine du stockage, Ivpn (Gibraltar) pour son application VPN, Tutanota (Allemagne) pour ses applications de messagerie, Securesafe (Suisse) pour son système de collaboration.

Dans cette acception, la connaissance zéro signifie la connaissance zéro pour le vendeur et la connaissance zéro pour l'application du vendeur. Ici, nous utilisons les mots « connaissance zéro » dans leur sens commun.

En effet, notre solution repose sur le sens et non sur les mathématiques.


Car l'identité et le caractère sont de nature différente. et correspondent à des angles distincts.

Une autre différence est que la compréhension de l'utilisation n'a rien à voir avec le suivi, mais est utile pour le marketing.

Plus de différences :

Notre protection résulte de l'absence de données personnelles de l'utilisateur dans un fichier, car les données personnelles de l'utilisateur sont inutiles pour comprendre les usages ou collaborer.
Les technologies sécurisées peuvent contribuer à protéger la vie privée, mais elles ne sont pas l'objectif.

La sécurité va de pair avec la confidentialité et la fiabilité.

Il est certain que, pour la sécurité, la connaissance zéro est préférable à l'hébergement dans un pays doté de bonnes lois sur la protection de la vie privée.
Pourquoi ?
La loi peut changer et peu de pays parviennent à conserver le pouvoir. L'UE envisage d'interdire le cryptage.

Sélectionnez des contractants attentifs à la vie privée

C'est la meilleure garantie pour vous, car ils prennent soin de vos données et de celles de vos clients.

N'utilisez pas de moyens techniques que vous ne maîtrisez pas

Je vise ici les moyens apportés par un sous-traitant qui pourrait soudainement cesser de servir votre entreprise parce qu'il n'apprécie pas votre comportement, vos clients ou ce qu'ils disent ;

Ou des moyens techniques non éthiques qui permettent une fuite ou le transfert de propriété des données de vos clients :

  • marchés, paiement, livraison, marketing ou communication
  • infrastructure, système de publicité, chatbots, help desk, etc.
  • réseaux sociaux dont vous êtes le produit
  • statistiques ou autres modules.

évitez les traqueurs et leur cohorte de faiblesses

Si vous craignez que la suppression des traqueurs limite votre capacité à gagner de l'argent avec vos contenus, vous êtes la proie d'un raisonnement erroné.

Nous verrons dans le dernier article de cette série de nouveaux concepts et technologies de monétisation du contenu. Ces technologies existent désormais et doivent seulement être testées plus avant.

Des développeurs et des prestataires de services ont trouvé la voie du succès grâce à des applications créatives qui démontrent leur talent et leur savoir-faire. Ils fournissent d'excellents exemples et bancs d'essai pour d'autres types de cas.

Je teste actuellement deux nouvelles orientations en matière de monétisation et de publicité intelligentes et éthiques, ainsi que des produits et services créatifs prometteurs.

Suivez ces règles générales

Vous désirez la protection de la vie privée et l'éthique numérique,
Vous ne désirez pas que de vos données appartiennent à d'autres,
Vous ne voulez pas être le produit,
si vous ne voulez pas exposer les données de vos clients,

préparez-vous à payer quelque chose, même très peu, pour le service.

Sources

Fointiat V, Girandola F. & Gosling P, La dissonance cognitive : quand les actes changent les idées (Cognitive dissonance: When acts modify ideas), Paris, Armand Colin, 2013, 239 p. (OCLC 862924218)

Gawronski B. & Strack F. (Eds.) (2012) Cognitive consistency: A fundamental principle in social cognition. New York: Guilford Press

About the author Irene Silberstein

Spécialiste de l'information et pionnière du web, Irene apporte son expérience de la strayégie, de la recherche et de l'analyse de l'information. Elle dirige iSkiv Ltd, société à responsabilité limitée britannique. Pour en savoir plus, voir Irene Silberstein