A l’occasion de la journée européenne de la protection des données, nous avons demandé à Julien Champseix et Arthur Poirier de Brevo Paris de répondre à nos questions autour de la sécurité. Ensemble, nous avons discuté aussi bien de l’impact des régulations sur le long terme que de notre approche globale sur la protection des données.
Dans cette deuxième partie de notre série : Conversation avec les Experts de Brevo, nous regardons de plus près ce que la sécurité des données signifie pour les petites et moyennes entreprises.
Nos experts en protection des données
Julien Champseix
Julien est Responsable de la Sécurité des Systèmes d’Information chez Brevo. Depuis sa prise de poste il y a un an, Julien a supervisé l’obtention de notre certification ISO 27001:2013 et continue de renforcer la structure de protection de données de l’entreprise.
Arthur Poirier
Arthur est Directeur Juridique et Délégué à la Protection des Données chez Brevo. Son rôle est de s’assurer de la conformité de Brevo et de nos clients avec la RGPD.
Rester à jour avec la cybersécurité
Il y a tellement d’éléments différents à suivre dans le monde de la tech et de la protection des données. Comment les petites et moyennes entreprises peuvent-elles rester à jour avec les meilleures pratiques du milieu ?
Julien : Il y a quelques sites Internet qui rapportent l’actualité de la cybersécurité, comme The Hacker News et Bleeping Computer ou encore Twitter. En fonction de la taille de votre équipe, avoir un système de gestion des appareils mobiles et un logiciel contre les programmes malveillants (antivirus) sont des investissements qui en valent la peine.
Ensuite, je recommanderais de créer un canal de communication interne dédié aux mises à jour de la cybersécurité. Chez Brevo, on a un canal Slack où je partage les actualités sur les violations de données de haut niveau, les mises à jour concernant nos politiques de sécurité interne, et les bonnes pratiques à adopter. L’avantage, c’est que ça permet de garder la sécurité des données présente à l’esprit des employés, tout en s’assurant que tout le monde est capable de reconnaître une activité frauduleuse.
En fonction de ce que votre PME fait, vous pouvez aussi rechercher les menaces spécifiques à votre industrie et mettre en place un système de surveillance pour rester à jour.
Quelle est la stratégie de Brevo pour rester à jour avec les dernières bonnes pratiques, les normes et les menaces de la cybersécurité ?
Julien : Nous faisons de la veille grâce à plusieurs entreprises, médias et blogs spécialisés dans la cybersécurité, donc dès qu’une actu est publiée sur une fuite ou une violation de données, nous sommes au courant.
Je fais aussi partie d’un groupe d’experts en protection des données à travers l’Europe où on discute de nos menaces et risques communs, de nos expériences avec différents logiciels et applications, ce qu’on fait en termes de protection, et les problèmes rencontrés avec nos propres processus internes. C’est un très bon moyen de rester à jour et d’apprendre grâce aux erreurs et aux succès de chacun.
Respecter vos obligations au titre du RGPD en tant que PME
Selon le RGPD, les individus ont des droits concernant leur données personnelles et peuvent demander aux organisations qui traitent leur données d’effectuer certaines actions. A quel genre de demandes liées au RGPD peuvent s’attendre les PME ?
Arthur : Ces demandes sont connues sous le nom de “demandes d’exercice de droits” des personnes concernées. Les personnes concernées sont les individus auxquels les données appartiennent. Ces demandes s’adressent aux “responsables du traitement” et peuvent exiger la correction ou suppression des données personnelles, le transfert d’une copie des données, ou encore l’arrêt du traitement de données (stockage, accès, transmission, etc.). En tant qu’entreprise “responsable du traitement” des données personnelles de vos clients, vous êtes dans l’obligation de donner suite à ces demandes.
S’agissant de l’activité de Brevo, la manière la plus commune d’exercer ses droits est la désinscription aux newsletters. La plupart des plateformes d’envoi d’emails rendent ce processus simple. Pour faciliter la vie de tous, Brevo inclut un bouton de désinscription dans tous les templates d’emails. Quand un destinataire clique sur ce bouton, il est automatiquement bloqué de la liste de contacts de ce client.
Avez-vous des conseils sur comment les petites et moyennes entreprises peuvent gérer les autres types de demandes liées aux données ?
Arthur : Cela dépend de beaucoup de facteurs – où une entreprise est située, où sont situés ses clients, quel type de données est collecté, quels logiciels l’entreprise utilise, etc.
Chez Brevo, on reçoit d’ailleurs beaucoup de demandes de personnes concernées de la part des clients de nos clients. Mais nous ne sommes pas habilités à intervenir sans être au préalable avisés par notre Client direct.
Pour aider nos clients à gérer les demandes d’exercice de droits, nous appliquons une procédure afin d’identifier en premier lieu lequel de nos clients est responsable des données personnelles de l’individu en question (bien souvent un individu donné fait partie de listes de contacts de plusieurs de nos clients, mais ne souhaitera pas nécessairement être retirés de toutes ces listes). Ensuite, nous informons notre client des demandes précises de la personne; demandes que notre Client pourra traiter grâce aux fonctionnalités de la plate-forme (suppression, opposition, accès, extraction etc.).
Nos utilisateurs peuvent ainsi répondre à ces demandes directement grâce aux fonctionnalités de la plateforme Brevo. En fonction de la demande, vous pouvez exporter et partager les données, effacer le registre de données, ajuster les paramètres d’archivage – tout cela en cliquant sur un bouton.
Comment le RGPD affecte les entreprises en dehors de l’Union Européenne ?
Le RGPD protège les données personnelles des individus situés dans l’Union Européenne. Même si votre entreprise n’est pas dans l’UE, vous serez amené à respecter la réglementation générale de protection des données pour contacter vos clients situés dans l’UE.
Tirer profit du RGPD en tant que PME
Pour les entreprises non européennes en particulier, le RGPD peut être perçue comme une réglementation trop compliquée. Comment est-ce que les PME peuvent tirer profit du RGPD pour à la fois protéger les données et améliorer leur efficacité globale ?
Arthur : Le RGPD ne devrait pas peser sur les entreprises – il est là pour protéger les données personnelles, mais cela ne veut pas dire qu’il est « anti-business ». Il vient à l’inverse renforcer beaucoup de bonnes pratiques.
Quand vous collectez des informations personnelles, le RGPD et autres lois de protection des données comme la directive « vie privée et communications électroniques » (ePrivacy) vous obligent à demander l’autorisation avant d’envoyer des communications électroniques (emails/SMS) à un individu. Au-delà de l’obligation en elle-même, c’est une pratique que toute entreprise devrait adopter. Elle démontre votre attachement au respect de la vie privée des personnes contactées et améliorera à terme l’efficacité de vos communications. A l’inverse, envoyer des emails non sollicités générera de la frustration et réduira significativement le taux de délivrabilité de vos emails.
Au delà de cet exemple évident, le RGPD exige également que vous ne collectiez que les informations strictement nécessaires à l’opération souhaitée. Posez-vous la question “Ai-je vraiment besoin de cette information pour atteindre mon objectif affiché ?” Par exemple, vous avez peut-être besoin d’une adresse email et d’un prénom pour envoyer une newsletter, mais pas nécessairement d’un nom de famille ou d’une date de naissance. Ce sont des informations personnelles dont vous n’avez pas besoin et qui vont juste s’accumuler sur votre base de données. Recueillir trop de données – ou des données non pertinentes – dénote d’une mauvaise compréhension du RGPD et envoie un message négatif à vos prospects et clients.
Plus encore, supprimer des données régulièrement vous fera faire des économies considérables sur vos factures de stockage et de maintenance. C’est à la fois plus sûr pour vos clients et plus économique sur le long terme.
Enfin, appliquer le RGPD dans votre entreprise montre votre engagement ferme auprès d’un standard de protection de données reconnu en Europe et au-delà. Tout comme la Responsabilité Sociale des Entreprises (RSE), la protection des données et le respect du RGPD sont devenus des critères importants impactant la décision de travailler ou non avec une entreprise.
L’exercice d’équilibriste des PME
Les petites et moyennes entreprises peuvent se retrouver dans une situation délicate quand il s’agit de protection des données. Honorer la confiance et la fidélité des clients est toujours une priorité, mais trouver les ressources dans une petite équipe pour assurer une protection robuste de leurs données peut paraître un challenge impossible. Cela peut pourtant être évité.
Un examen attentif de vos logiciels et de leurs fournisseurs est la meilleure façon de procéder pour préserver la sécurité des données de vos clients. Penchez vous sur la façon dont votre plateforme d’emailing, SaaS et CRM gèrent les données personnelles pour pouvoir être transparent avec vos clients.
Et grâce à la montagne de ressources disponibles en ligne, les PME peuvent en savoir plus sur les meilleures pratiques de cybersécurité, les implémenter pour leur équipe, et contribuer à une culture de sensibilisation sur la protection des données.
Lisez la partie III de notre série Conversation avec les Experts pour en savoir plus sur l’approche de Brevo sur la protection des données.
