Dans le contexte actuel, la négligence en matière de sécurité trouve peu d’empathie auprès de vos clients, employés ou partenaires d’affaires. Une entreprise doit reconnaître la valeur des données qui lui sont confiées. La revente et l’échange de données avec des partenaires d’affaires n’est possible que si vous en êtes autorisé. En cas d’incident de sécurité, la transparence peut améliorer la confiance alors que le fâcheux réflexe de camoufler l’affaire pourrait éclabousser votre réputation.
Capital Québec - Vos clients, des internautes qui se font entendre - Alain Fo...
Magazine Surface - De la confiance à revendre - Alain Fortier
1. 26 vol. 35 no 3
DÉTENTEUR D’UN MBA
POUR CADRES DE L’UNI-
VERSITÉ CONCORDIA,
ALAIN FORTIER A ÉGALE-
MENT FAIT DES ÉTUDES DE
DEUXIÈME CYCLE EN AF-
FAIRES ÉLECTRONIQUES ET
MARKETING SUR LES NOU-
VEAUX MÉDIAS À L’UNI-
VERSITÉ LAVAL. DEPUIS PRÈS DE 20 ANS, IL
TRAVAILLE EN STRATÉGIE D’ENTREPRISE ET PER-
FORMANCE ORGANISATIONNELLE, ENTRE AUTRES
DANS LE COMMERCE DE DÉTAIL ET LE SECTEUR PU-
BLIC. ALAIN EST ACTUELLEMENT CONSEILLER PRIN-
CIPAL EN GESTION ET TECHNOLOGIE.
alain.fortier@cgi.com
http://ca.linkedin.com/in/alainfortiermba
À la suite de nombreuses fuites de données person-
nelles, la confiance des consommateurs continuent
de s’effriter face aux organisations1 . En 2014, le
journal Les Affaires faisait état des risques encourus
par une gestion malveillante des données confiées
par les clients et les employés2 . À l’époque, l’entre-
prise Target avait subi une fuite de plus de 110 mil-
lions de données de clients. Depuis cinq ans, le
tableau de déshonneur des organisations ayant subi
une fuite de données ne cesse de s’allonger. En con-
sultant le tableau produit sur Wikipédia, on remarque
que toutes les industries font l’objet d’incidents qui
exposent les données de leurs clients, leurs four-
nisseurs et les employés.
Selon Yany Grégoire, professeur titulaire de marke-
ting à HEC Montréal, les détaillants devraient grande-
ment s’inquiéter des répercussions de cette perte de
confiance. Les clients porteront un jugement défavo-
rable sur un marchand s’il a négligé de protéger
adéquatement les données et s’il a tardé à informer
les personnes touchées. Aucune organisation ne
serait en mesure de plaider l’inaction par ignorance
des impératifs en matière de protection des informa-
tions confidentielles. Le magazine Consumer Reports
a établi avec l’aide d’experts une liste de cinq pistes
porteuses de réflexion pour favoriser la confiance3 .
Pour bien en comprendre la portée, toutes les pistes
proposées seront revues et commentées ici pour en
illustrer l’incidence sur les activités d’une entre-
prise.
Limiter la collecte de données non essentielles
La donnée est le nouveau pétrole4 . Plusieurs dé-
cideurs se saoulent à l’idée de vendre à forts profits
toutes les données acquises lors d’une transaction
avec un client, par exemple le numéro de carte de
crédit ou d’assurance sociale. Pour effectuer les
travaux convenus, les détaillants doivent souvent re-
cueillir ce type de données. Toutefois, les bas coûts
d’acquisition et d’entreposage des données exposent
les décideurs à prendre des risques mal calculés de
sécurité en recueillant plus de données que néces-
saires, par exemple le revenu annuel ou le nombre
de membres dans la famille.
Avec l’avènement du financement offert en magasin,
des détaillants ont grandement augmenté la quantité
de données sensibles saisies, traitées, transférées et
entreposées5 . À toutes ces étapes, les données
restent vulnérables aux méfaits. Sachant que plus de
70 % des données saisies reste inutilisées, un mé-
nage des données est souhaitable pour déterminer
les données essentielles et ne converser que celles-
ci. De plus, en décidant d’entreposer une donnée
pour une période plus longue que nécessaire, les dé-
c o m m e r c e d e d é t a i l
D e l a c o n f i a n c e à r e v e n d r e
par Alain Fortier
2. 27vol. 35 no 3
taillants mettent en péril leur réputation dans le cas
d’une fuite. Un cycle de purge des données s’impose
donc, tout en respectant le cadre légal.
Mettre en place des mesures de sécurité
généralement reconnues
Les mesures de sécurité ont su gagner en maturité
et dépassent grandement le recours au « gros bon
sens ». La norme ISO 27000 aide les organisations
à assurer la sécurité de leurs données6 . Elle suggère
une approche plus saine de la gestion des données
relatives aux employés et celles confiées par des
tiers. Certaines entreprises devront recourir aux
services d’experts-conseils ou embaucher un chef de
la protection des renseignements personnels (en
anglais Chief Privacy Officer ou CPO). Dans tous les
cas, une entreprise spécialisée en sécurité sera de
bon conseil pour garder le cap.
Prendre les données personnelles plus au sérieux
En août 2019, le site TechRepublic rapportait que le
nombre de fuites de données affichait une augmen-
tation de 54 % par rapport à l’année précédente7 .
Les logiciels d’extorsion (en anglais, ransomware),
qui prennent otage des données personnelles contre
une rançon, présentent une explosion très inquiétante
de 365 % par rapport à 2018. Lorsque des malfai-
teurs font main basse sur un butin de données sen-
sibles, les clients ou les employés inquiétés risquent
de fuir votre organisation. Si vous ne démontrez pas
suffisamment d’intérêt pour les données confiées par
vos employés et vos clients, d’autres individus,
malveillants, eux, y voient un nouveau Far West.
3. c o m m e r c e d e d é t a i l
Liens utiles
1- Customer Loyalty, Trust and Data Breaches
https://bit.ly/2unRalf
2- Quand les données fuient, la confiance suit
https://bit.ly/304FthA
3- Stopping the Data Breach Epidemic
https://bit.ly/30aTXfM
4- The world’s most valuable resource is no longer oil, but data
https://econ.st/2Gtfztg
5- Every store, business, and retailer that has been recently
hacked
https://bit.ly/2Pj5bxM
6- Classe de maître – Principes fondamentaux ISO/IEC 27001
https://bit.ly/30io9G9
7- Avez-vous les moyens de vous priver d’un « CPO »?
https://bit.ly/33OoNxe
8- Data breaches increased 54% in 2019 so far
https://tek.io/2N9pMSv
9- How To Respect Your Customers' Data
https://bit.ly/33NmEBK
10- Why should your organization care about Data Privacy &
Protection (DPP)
https://go.ey.com/2yyTPv4
11- The penalty for data breaches just got forty times more
expen sive
http://bit.ly/2KIdQpj
12- Nouveau règlement européen sur la protection des données
personnelles
http://bit.ly/3225DSV
Exiger plus rapidement un avis de violation
de la sécurité ou de fuite de données
La transparence s’impose comme la meilleure ap-
proche pour aborder une situation de brèche dans la
protection des renseignements personnels9 . De plus,
la collaboration avec les autorités est cruciale pour
la déclaration, l’alignement et la prise de mesures
lors d’un incident de sécurité ou fuite. Le déclenche-
ment de mesures en cas d’avis repose sur une organ-
isation soucieuse des impacts et une planification
attentionnée10 . Pour s’assurer de maîtriser le dé-
clenchement d’un avis de sécurité ou de fuite de
données, les entreprises sont invitées à simuler ou
faire un exercice de déclenchement pour apprécier
les forces et pour identifier les faiblesses à corriger,
comme lors d’un exercice d’évacuation. La réputation
de votre entreprise peut se retrouver sur la corde
raide en cas de bris ou de fuite. De ce fait, la plan-
ification et la gestion d’un avis devrait s’inscrire
dans les priorités de toute organisation soucieuse de
sa pérennité.
Imposer des pénalités plus sévères pour les
faux pas
Un vent souffle sur les braises de l’opinion publique
pour réclamer des peines plus sévères en cas de
brèche ou de fuite en matière de sécurité1 1 . Au-delà
des dommages indéniables à l’image de marque
comme employeur, détaillant ou partenaire d’affaires,
les entreprises s’exposent à de lourdes amendes1 2 .
En mai 2018, une nouvelle réglementation pour les
membres de l’Union européenne est entrée sous la
forme du Règlement général sur la protection des
données (RGPD). En plus d’unifier et de renforcer la
protection des données personnelles dans son terri-
toire, le RGPD impose des sanctions jusqu’à 40 fois
plus élevées qu’avant sa mise en œuvre. Fort de cet
exemple, d’autres juridictions ne tarderont pas à
passer à l’action. Rien ne justifie d’attendre les pé-
nalités financières plus élevées puisque l’impact sur
la réputation peut être fatal pour l’entreprise.
Dans le contexte actuel, la négligence en matière de
sécurité trouve peu d’empathie auprès de vos clients,
employés ou partenaires d’affaires. Une entreprise
doit reconnaître la valeur des données qui lui sont
confiées. La revente et l’échange de données avec
des partenaires d’affaires n’est possible que si vous
y êtes autorisé. En cas d’incident de sécurité, la
transparence peut améliorer la confiance, alors que
le fâcheux réflexe de camoufler l’affaire pourrait
éclabousser votre réputation.