Bonnes pratiques en matière de confidentialité des données et de consentement client

Les équipes en charge de la sécurité se consacrent depuis longtemps maintenant à la protection de leurs clients et de leur business, mais ce travail n’est jamais fini. Les acteurs malveillants trouvent en permanence de nouveaux moyens de tirer profit des infrastructures informatiques, et ils n’ont pas l’intention de ralentir. La distribution et beaucoup d’opérations ont basculé vers le digital, et les acteurs malveillants ont fait de même. Plus personne ne braque des banques : désormais, toutes les fraudes ont lieu en ligne.  

Pour compliquer encore un peu plus les choses, les attentes concernant la confidentialité des données et le consentement client ont augmenté, et c’est souvent aux équipes de charge de la sécurité de les satisfaire. Ceci ajoute encore un nouvel ensemble d’exigences que ces équipes doivent appréhender, honorer, suivre et mettre à jour, qui souvent nécessitent une plateforme de gestion du consentement (CMP). Et ce n’est pas un simple interrupteur sur lequel il faut appuyer. Les exigences en matière de confidentialité des données et de consentement varient en fonction des régions, des normes réglementaires, des préférences des clients et d’autres facteurs.

Le temps où seule la commodité intéressait les clients est révolu. « Vous voulez pouvoir accéder à toutes mes données personnelles en un clic ? Bien sûr, pourquoi pas, où est le problème ? » Vous vous demandez toujours ce que deviennent ces photos que vous postez sur les réseaux sociaux et qui, finalement, les possèdent ? Longtemps, il était acquis que ce sont les opérateurs des réseaux sociaux qui les possédaient, mais heureusement les choses sont en train de changer car les attentes des consommateurs concernant la collecte et la protection des données personnelles ne cessent de croître. Et le principal moteur de ce changement réside souvent dans le chiffre d’affaires des entreprises. Les consommateurs ne s’adressent plus à des entreprises auxquelles elles ne font pas confiance, surtout lorsqu’ils trouvent de nombreuses alternatives à quelques clics de là. 

Les préférences des clients changent en permanence, et il fondamental de les suivre. Sinon, vous risquez de ne plus être en phase avec ce que vos clients attendent de vous en tant qu’entreprise. Les clients parlent avec leur porte-monnaie et, parfois, avec des commentaires sur le Net. Mais pourquoi les clients s’intéressent-ils tout d’un coup à la confidentialité des données et au consentement ? Il y a deux raisons à cela : la hausse des attaques de phishing et un marketing irritant. De plus, des gouvernements dans le monde entier montent au créneau avec des lois sur la protection des données conçues pour protéger leurs citoyens.  

Hausse des attaques de phishing

Les fuites de données sont en augmentation, mais elles sont souvent inoffensives car aucun numéro de carte de crédit ni de sécurité sociale n’a été volé, ce qui veut dire qu’aucun dommage financier n’a été causé. Mais en revanche, de nombreuses de ces fuites ont pour conséquence que des données personnelles des clients se retrouvent entre les mains d’acteurs malveillants, qui les utilisent pour mener des attaques de phishing ou tenter d’accéder à des réseaux d’entreprise en utilisant des données personnelles pour contourner les contrôles de sécurité. Les attaques de phishing personnalisées sont plus efficaces. Le fait que les données personnelles des clients sont partagées avec de nombreuses parties a augmenté la surface d’attaques ciblant les données clients, en exposant ces derniers à des risques et notamment à des fraudes. 

Un marketing irritant

En raison du nombre élevé de tiers non autorisés ayant accès aux données clients, les sollicitations marketing non désirées et irritantes sont omniprésentes. Il est d’ailleurs difficile de parler de marketing, car ces sollicitations demandent peu de réflexion et de créativité. S’agit-il de marketing bon marché ou simplement de spams ? Heureusement, de nombreux services que nous utilisons aujourd’hui sont équipés de bloqueurs de spams, mais quelques spams passent encore au travers. Vous êtes-vous déjà demandé comment tel ou tel service a obtenu votre adresse email ? Comment ce télémarketeur a-t-il obtenu mon numéro de téléphone ? Pourquoi reçois-je tous ces SMS indésirables ? C’est probablement car vos données personnelles ont été partagées avec d’autres parties sans votre consentement. Il serait agréable d’avoir la possibilité de voir qui a accès à vos données et potentiellement révoquer cet accès pour certaines parties, n’est-ce pas ? Nous n’en sommes pas encore là, mais c’est l’objectif. Egalement, durant combien de temps votre consentement pour accepter les cookies et les pop-ups va-t-il durer ? Ils vivent leurs derniers instants, non ?

Réglementations sur la confidentialité des données

Pour accélérer la protection des données personnelles des clients, les gouvernements s’impliquent avec des réglementations tels que le RGPD dans l’Union Européenne, le CCPA en Californie, le CDR en Australie et beaucoup d’autres. Les gouvernements ont commencé à demander aux organisations de mettre en place des outils de gestion de la confidentialité des données et du consentement sur leurs sites web et leurs applis web. Si elles ne le font pas, elles encourent des amendes, des pénalités et une mauvaise presse. Les lois sur la confidentialité des données varient un peu mais ont toutes le même objectif à l’esprit. Egalement, de nouvelles lois sont souvent ajoutées pour demander aux organisations d’être flexibles pour rester conformes aux réglementations. Nous aborderons plus en détail quelques unes de ces réglementations dans cet article. Mais d’abord, examinons plusieurs cas dans lesquels des entreprises qui n’avaient pas adopté de bonnes pratiques en matière de confidentialité des données et de consentement ont été accusées et pénalisées pour cela.  

Le fournisseur d’énergie italien Enel Energia a dû s’acquitter d’une lourde amende de 26 millions de € à verser à l’autorité italienne de protection des données, Garante, pour non respect du RGPD. Enel Energia a reçu des centaines de plaintes concernant des démarchages téléphoniques non sollicités et réalisés sans le consentement des clients. Ces appels ciblaient des utilisateurs ne figurant pas dans l’annuaire téléphonique ou ayant opté pour les interdire. De plus, l’entreprise avait retardé le traitement des réclamations des clients concernant l’accès non autorisé à leurs données personnelles en vue de leur utilisation à des fins marketing, certaines de ces réclamation disparaissant entièrement.

Instagram, qui appartient à Meta, a dû payer amende de 405 millions de € aux régulateurs irlandais pour avoir violé la vie privée d’enfants. Cette amende découlait d’une plainte de longue date concernant le manque de protection des données des enfants, en particulier de leurs numéros de téléphone et adresses email. Certains enfants étaient inscrits sans le savoir sur des comptes professionnels, ce qui permettait de partager davantage de données les concernant. Les défenseurs de la sécurité des enfants en ligne, tels que la National Society for the Prevention of Cruelty to Children (NSPCC), ont accueilli cette amende avec satisfaction, soulignant l’efficacité des règlements en vigueur pour protéger les enfants et leur vie privée sur les réseaux sociaux.

Zoom Video Communications a signé un accord de 85 millions de $ pour résoudre une action collective concernant les problèmes liés à confidentialité des données des utilisateurs et au « zoombombing » qui se produit lorsque des individus non autorisés perturbent des réunions sur Zoom. Dans cette action, Zoom était accusé de partager les données des utilisateurs avec Facebooks et de ne pas parvenir à empêcher le « zoombombing ». Dans le cadre de cet accord, Zoom a accepté de procéder à des changements pour améliorer la confidentialité et la sécurité des données, incluant des mesures supplémentaires de chiffrement et des informations plus claires fournies aux utilisateurs sur les pratiques de partage des données.

Les solutions de gestion des accès et des identités clients (CIAM) offrent des fonctionnalités clés qui vous aident non seulement à vous conformer aux normes réglementaires, mais aussi à changer radicalement la façon dont vous percevez vos clients. Le CIAM vous aide à transformer les défis liés au respect des réglementations sur la confidentialité des données, aux procédures liées au consentement, à l’accès aux données, à l’autorisation et la sécurité des applications en une opportunité unique pour gagner la confiance des clients. 

Être un bon gardien des données clients présente plusieurs avantages. Pour commencer, éviter de lourdes amendes est un bon aiguillon, mais cela va bien au-delà du simple respect de la loi. Fournir un bon service client présente les mêmes avantages. Si vos clients apprécient leur expérience, ils reviendront et dépenseront plus d’argent, et ils pourraient même recommander votre marque à leurs amis. 

Confiance et fidélité des clients. Croyez le ou non, vos clients se soucient réellement de la confidentialité de leurs données. C’est même une vraie priorité pour eux. Des études ont montré que le partage non autorisé de données est un fort élément dissuasif, qui dépasse de loin la peur des fuites de données. Et devinez ce qui les inquiète le plus au niveau de la technologie ? Oui, c’est la confidentialité des données qui arrive en tête. C’est comme trouver un bon mécanicien auto. Si vous avez la chance de trouver un mécanicien de confiance, vous serez un client fidèle pour la vie. 

Une meilleure posture de sécurité. Les pratiques relatives à la confidentialité des données et au consentement renforcent considérablement votre cybersécurité. Vous réduisez votre surface d’attaque en centralisant les données clients, en vous assurant que seules les personnes concernées y ont accès et en contrôlant en permanence l’activité des utilisateurs. Le confidentialité consiste essentiellement à s’assurer que l’accès aux données est approprié, et c’est précisément pour cela que les plateformes de gestion des identités et des accès clients sont conçues. 

Etendre vos activités à l’international. Et voici la partie intéressante : le respect de la vie privée va au-delà des frontières. Elle vous donne une dimension internationale, car la protection des données ne connaît pas de frontières. Lorsque vous mettez en place des bonnes pratiques en matière de confidentialité des données et de consentement, vous devenez un gardien des données à l’international, ce qui propulse votre marque sur la scène internationale.

Le changement est souvent difficile. Il est difficile de mettre en place de nouvelles technologies et d’intégrer de nouvelles fonctionnalités dans votre infrastructure informatique, et ces efforts impactent souvent d’autres priorités. De plus, faire quelque chose de nouveau mène à des erreurs. Examinons quelques-uns des principaux obstacles et inconvénients liés au déploiement de la confidentialité des données et du consentement afin que vous évitiez les surprises et soyez mieux préparé. 

Un consentement inadéquat. Un consentement inadéquat. Le niveau de consentement existant par le passé n’est plus suffisant. Au lieu d’un consentement implicite ou négatif autorisé dans certains cas, vos utilisateurs doivent désormais donner un consentement clair et explicite via une déclaration ou un acte clair, comme cocher une case ou remplir un formulaire en ligne. En tant que contrôleur des données, l’entreprise est tenue de démontrer que la demande de consentement a été présentée de manière claire et intelligible. 

Vous devez vous soumettre à un type de consentement explicite encore plus strict si vous collectez des catégories de données spéciales. De plus, le consentement est requis dans un plus grand nombre de situations que par le passé. Par exemple, les données du navigateur d’un utilisateur sont considérées comme des données à caractère personnel et nécessitent à ce titre un accord explicite pour leur capture. Si votre entreprise ne supporte pas encore ce genre d’activité, vous devrez actualiser votre environnement. 

Silos de données. Prenez l’exemple d’un client qui fait des achats depuis votre site Web. Il se peut que votre entreprise stocke les données de navigation dans un système analytique, d’autres données sur les prospects dans un système d’e-commerce, l’historique des achats dans un système de gestion des commandes, et les identifiants et autres données d’identité dans un autre système. Ces données en silos compliquent considérablement la conformité aux réglementations, car l’accès aux données et leur portabilité est beaucoup plus ardu. De même, il est peu probable que tous ces systèmes disparates respectent les exigences en matière de protection et de sécurité dès leur conception. 

Absence d’autorisation. Non seulement limiter l’accès des applications aux données d’identité et de profil client dont elles ont besoin pour fonctionner est une bonne pratique business, mais la plupart des réglementations exigent essentiellement des entreprises de créer des politiques spécifiques visant à limiter l’accès des applications à toutes les données client non indispensables. Les entreprises qui ne se sont pas encore conformées à cette exigence doivent s’adapter et appliquer des processus d’accès aux données application par application, via des politiques centralisées de gouvernance des accès aux données qui tiennent compte du consentement, des préférences de confidentialité et des besoins de l’entreprise. 

Un accès restreint en libre-service. Vos clients ont-ils accès à des outils de gestion des préférences pour gérer seuls leur profil et leurs préférences ? Ces préférences sont-elles systématiquement appliquées sur tous les terminaux et canaux ? Votre entreprise a-t-elle la capacité de stocker et de récupérer facilement différents types de données relatives aux préférences, tant structurées que non structurées ? Si vous avez répondu « non » à l’une de ces questions, vous allez devoir renforcer l’accès en libre-service de vos clients si vous voulez vous conformer aux réglementations sur la confidentialité des données. 

Comme toujours, vos ressources sont limitées et vous avez autre chose à faire. Puisqu’à l’impossible nul n’est tenu, examinons quelques unes des fonctionnalités de gestion du consentement et de la confidentialité des données les plus importantes. Il est toujours plus facile de trouver une approche équilibrée.  

Consentement client et préférences concernant la communication des données. Protéger la confidentialité des données de vos clients va bien au-delà d’une obligation réglementaire ; c’est un pilier fondamental pour construire une confiance inébranlable. Dans le monde actuel qui est guidé par les données, donner aux clients l’autonomie dont ils ont besoin pour décider comment leurs informations personnelles sont partagées et des méthodes de communication qu’ils préfèrent est une façon efficace de montrer que vous accordez de la valeur à leur vie privée et que vous respectez leurs choix.

Chaque client est unique et son approche concernant le partage des données varie d’un individu à un autre. Certains clients sont des livres ouverts sur les réseaux sociaux, et adhèrent totalement au monde digital, tandis que d’autres préfèrent une approche plus discrète, en gardant leurs informations personnelles pour eux. En leur offrant la liberté de paramétrer sur mesure la confidentialité de leurs données, vous leur donnez le sentiment qu’ils les contrôlent, ce qui peut renforcer leur confiance envers votre organisation.

Fonctionnalités de rétention des données et de reporting. Garantir la sécurité des données personnelles de vos clients est fondamental. Un aspect essentiel est de s’assurer que leurs données résident uniquement dans la région où ils se trouvent. De plus, vous avez besoin d’une stratégie bien pensée en matière de rétention des données pour bien gérer la durée pendant laquelle vous pourrez les conserver. Si vous ne parvenez pas tenir compte de ces considérations dans votre solution de gestion des identités clients, ils vous sera difficile de répondre à certaines questions, en particulier en cas d’audits.

La clé du succès réside dans des fonctionnalités de reporting fiables et dans une robuste stratégie de sécurité des données. En mettant en place une stratégie bien définie, vous pourrez satisfaire les exigences en matière de résidence des données et respecter les préférences de vos clients en matière de confidentialité des données. Cette attitude proactive vous permettra de protéger les données, de rester conforme aux réglementations et d’établir un lien de confiance avec vos clients.

Délégation des Accès Utilisateur. Les comptes partagés peuvent être une solution pratique pour de nombreuses familles, que ce soit pour les plans d’assurance ou les comptes bancaires. Toutefois, paramétrer le contrôle et les permissions d’accès peut être fastidieux. Garantir que vos enfants n’aient pas les mêmes privilèges d’accès que vous est essentiel pour maintenir la confidentialité et la sécurité des données.

La solution réside dans la fourniture d’une expérience IAM fluide et sécurisée pour vos clients. En leur offrant un système intuitif, vos clients pourront facilement autoriser et déléguer les accès aux membres de leur famille. Avec une bonne implémentation de l’IAM, les familles peuvent gérer leurs comptes sans efforts, en personnalisant les accès pour chaque membre tout en protégeant les données sensibles. En permettant à vos clients de gérer efficacement des comptes partagés, vous construisez la confiance dans vos services et leur fiabilité. 

Des solutions CIAM robustes offrent des capacités essentielles telles que la consolidation des données, la capture et la gestion du consentement, la gouvernance des accès aux données et une sécurité de bout en bout qui aideront votre entreprise à se conformer aux cas d’usage de la confidentialité des données. De plus, les meilleures pratiques CIAM contribuent à rendre la conformité efficace et rentable via la consolidation des données, un meilleur contrôle et une meilleure gouvernance de vos données, tout en améliorant la sécurité et en rationalisant l’expérience utilisateur.

Mais les organisations dont les objectifs vont au delà de la simple conformité seront les véritables gagnants, car elles offriront des expériences sécurisées et transparentes sur tous les canaux et tous les terminaux, générant ainsi une meilleure confiance, un meilleur engagement et une meilleure fidélisation des clients.

La plateforme PingOne Cloud a été conçue pour fournir des fonctionnalités clés qui aident à satisfaire les exigences techniques de la confidentialité des données et du consentement. Notre solution CIAM leader peut transformer un défi en matière de conformité en une opportunité vous permettant de vous rapprocher de vos clients et de gagner ainsi leur confiance, leur fidélité et leur engagement.

Étape 1 : Capturer le consentement

La capture du consentement doit avoir lieu très tôt durant la procédure d’inscription des clients, typiquement au cours de l’enregistrement. Pour plus de commodité, vous pouvez utiliser une fonction de profilage progressif et capturer le consentement la prochaine fois qu’un utilisateur s’authentifie pour se connecter. L’objectif ici est de fournir à vos clients plusieurs options en matière de confidentialité et de consentement, et de leur permettre de choisir ce qu’ils préfèrent. Les clients doivent pouvoir cocher la bonne case dans un formulaire d’enregistrement et modifier à tout moment leurs préférences ou leurs paramètres. 

Étape 2 : Stocker le consentement

Après avoir obtenu le consentement et les préférences du client, vous devez avoir un moyen de stocker ces préférences. Stocker les préférences en matière de consentement à côté des attributs clients est recommandé. Ceci fournit alors à votre organisation un annuaire unifié où toutes les données clients peuvent être obtenues, ce qui permet de gagner en cohérence et de réduire la dispersion des données clients dans d’autres unités de stockage en silos. Avantage supplémentaire, cela réduit votre surface d’attaque, car vos données clients ne sont pas dupliquées dans divers endroits. 

Étape 3 : Appliquer le consentement

La dernière étape consiste à appliquer le consentement. Des politiques d’autorisation centralisées fournissent un contrôle d’accès au cas par cas qui tient compte du contexte en temps réel au sujet de vos clients et de vos ressources. Grâce à de simples contrôles en glisser-déposer, vos administrateurs peuvent rapidement faire des modifications et les éditer. La conformité est assurée en simplifiant la gestion de la confidentialité des données et du consentement grâce à l’automatisation. Par exemple, des politiques d’autorisation réduiront l’accès d’un responsable des prêts bancaires aux seules informations client nécessaires à l’évaluation et à l’approbation d’une demande de prêt, et rien d’autre. 

Regarder au-delà de l’horizon immédiat

L’identité décentralisée est un nouveau concept qui se profile rapidement et qui donne aux clients la possibilité de contrôler leur propre identité et leurs données personnelles. Elle redonne à vos clients le contrôle ultime de leurs données personnelles et d’identité. Elle vous permet de vérifier les pièces d’identité, et autres documents revendiquant l’identité, comme un permis de conduire, pour émettre des identifiants digitaux basés sur ceux-ci. Les utilisateurs peuvent partager leurs identifiants digitaux avec des organisations pour prouver rapidement et sans efforts qui ils sont, sans que vous ayez à stocker des données personnelles sur les clients. Au contraire, les données personnelles résident toujours chez le client, qui en est l’utilisateur en premier. 

De récents abus importants relatifs à la confidentialité des données ont conduit les clients à s’inquiéter de la façon dont les entreprises utilisent leurs informations personnelles. Ils sont de plus en plus réticents à l’idée de fournir leurs données personnelles et s’inquiètent de leur partage sans leur consentement. Ces attitudes se reflètent dans les diverses réglementations sur la confidentialité des données en vigueur aujourd’hui dans différentes régions et différents secteurs.

Avec la bonne solution CIAM, vous pourrez fournir des expériences client sécurisées et cohérentes grâce au SSO et à un profil unifié, évolutif et haute performance accessible pour toutes les applications et tous les canaux. Vous pourrez ainsi construire la confiance de vos clients en offrant des politiques d’autorisation centralisées qui appliquent le consentement client et respectent les réglementations sur la confidentialité des données. Et ceci permettra à vos clients de s’inscrire facilement et de contrôler et gérer les données de leur compte, leurs consentements sur le partage des données et leurs préférences pour faciliter une expérience personnalisée sur tous les canaux. Pour en savoir plus, rendez-vous sur notre page web dédiée à la confidentialité des données et au consentement. 

Contactez-nous si vous avez des questions ou découvrez notre solution PingOne for Customers pour en savoir plus sur les fonctionnalités et les packages solution afin de garantir la confidentialité des données et la sécurité de vos clients.