Skip to main content

Le RGPD pour les RP et la communication corporate : une checklist

Le RGPD, le nouveau règlement européen pour la protection des données et de la vie privée, aura un double impact sur les professionnels de la communication corporate lorsqu’il entrera en vigueur le 25 mai :

  • vous devrez créer les informations et les politiques requises par le RGPD pour toute l’entreprise
  • vous devez également veiller à ce que le département de communication corporate lui-même soit conforme au RGPD, en particulier en ce qui concerne le stockage et le traitement des informations relatives aux stakeholders

Pour vous aider à comprendre ce qu’il y a lieu de faire, nous avons établi cette checklist, en classant les éléments d’important et urgent à moins urgent.

1. Important et urgent : mettez à jour le plan de communication de crise

Le changement de loin le plus important dicté par le RGPD réside dans l’obligation de signaler chaque « violation de données », c’est-à-dire chaque fois que quelqu’un accède à vos données, les modifie ou vous les subtilise illégalement.

Il s’agit d’un énorme changement.

Jusqu’à présent, il n’y avait pas d’obligation pour les entreprises de notifier les violations aux autorités de contrôle du respect de la vie privée ou aux personnes concernées.

Cela signifie qu’il était du ressort des entreprises de décider de l’opportunité, de la manière et du moment de communiquer au sujet des violations de données. En pratique, les entreprises restaient souvent silencieuses quant aux violations de données, même dans des cas graves de piratage, de détournement ou de vol, de vol de mots de passe, ou de doxing (un dépôt de données protégées sur Internet).

De nombreuses entreprises ont choisi de ne pas déclarer les violations de données dans l’espoir que la tempête finirait par se calmer. (Cela ne s’est pas toujours passé ainsi, comme nous l’avons expliqué dans des blogs précédents).

1a. Notification aux autorités de contrôle

À partir du mois de mai, en cas de violations de données, vous devez les déclarer aux autorités de contrôle de votre pays. Dans certains cas, vous devez également avertir les personnes concernées (les « data subjects » comme les appelle le RGPD) que leurs données ont été violées.

La notification aux autorités de contrôle doit être effectuée « sans délai » (et de toute façon dans les 72 heures).

Si vous n’êtes pas en mesure de le notifier à l’autorité réglementaire dans ce délai, vous devez justifier ce qui a causé le retard de la déclaration. Il n’y a qu’une seule exception à cette règle : s’il existe un « faible risque » que les droits et les libertés des personnes concernées soient menacés.

La demande de prévenir les autorités au sujet de la violation viendra de votre service juridique et de régulation. Bien sûr, il pourra vous être demandé de l’aider à leur communiquer la violation.

De même, communiquer avec les autorités de contrôle implique toujours un risque de fuites, en particulier si vous travaillez pour une marque bien connue ou une institution importante (p.ex. des banques, des hôpitaux...). La communication d’entreprise doit se faire aux premiers stades de la crise afin d’évaluer le risque de fuites dans les médias et de préparer des déclarations réactives et informatives (ou des communiqués de presse) pour répondre aux demandes des médias.

1b. Notification aux personnes concernées

Si la violation engendre un « risque élevé » pour les personnes dont vous détenez et traitez les données, vous êtes tenu de les en informer (Article 34 RGPD) :

  • « Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ;
  • La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d). »

La nature et la définition de ce « risque élevé » est une chose dont vous devrez – à nouveau – parler avec les services juridiques. Cela peut être fait à l’avance si vous procédez à une analyse de risque en vue de préparer votre plan de communication de crise.

Pour le RGPD, le « risque élevé » comprend à coup sûr :

  • un impact financier : vol d’argent
  • un impact sur la vie privée : p.ex. des données relatives à la santé, d’autres données privées comme des photos, des enregistrements, des informations personnelles et confidentielles comme des informations liées aux RH.
  • un impact sur la sécurité : des mots de passe

Au minimum, vous êtes tenu de dire aux personnes concernées pourquoi et comment vous avez conservé ces données (Art. 33):

  1. « décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

  2. communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

  3. décrire les conséquences probables de la violation de données à caractère personnel ;

  4. décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. »

Communiquer au sujet d’une violation de données implique une augmentation exponentielle de voir les médias s’en mêler. Surtout si votre marque est très connue, ou si le type de données que vous stockez d’une manière ou d’une autre retient leur attention (argent, photos, mots de passe, dossiers hospitaliers ou d’entreprise...).

En ce qui concerne votre to-do list, cela signifie que vous allez devoir vérifier et mettre à jour les plans de communication de crise et les procédures. Vous avez besoin d’une évaluation des risques des types de données que vous traitez et des types de personnes concernées au sujet desquelles vous conservez des informations.

En cas de violation de données, il peut être opportun de prêter attention à votre niveau de réputation. Dans toute situation de crise, il est bon d’être en mesure de recourir à des messages de soutien et de stimulation. Est-ce le moment de créer quelques messages de réputation sur la protection des données et de la vie privée ? Ou d’argumenter sur votre gestion responsable des données ? Il n’est jamais trop tard pour vous constituer un capital de réputation au cas où une crise se présenterait.

2. Politiques de protection des données et de la vie privée - existence et lisibilité

Vous avez peut-être remarqué la référence à un langage « clair et simple » dans la partie relative aux violations de données.

L’obligation de communiquer en des termes clairs et simples n’est pas une exigence uniquement dans le cas d’une violation de données. C’est une constante dans le RGPD. L’UE veut que les consommateurs comprennent quelles autorisations ils donnent et comment les entreprises vont utiliser leurs données.

Cela signifie que les politiques de protection des données et de la vie privée ne peuvent plus être rédigées dans le jargon juridique auquel nous sommes habitués.

En tant que département de communication corporate, vous serez probablement amené à aider vos collègues d’autres départements (comme les services RH et juridique) à écrire des politiques de protection de la vie privée claires et compréhensibles.

3. Impact potentiel sur la réputation : droit d’accès (Art. 15 RGPD)

Le fait que les personnes concernées puissent vous demander de leur donner accès aux informations que vous conservez à leur sujet fait apparaître un type de risque tout à fait différent (Art. 15 RGPD).

Tout d’abord, vous devez répondre à leurs questions portant sur le fait que vous conservez ou non des données à leur sujet.

Si vous conservez effectivement des données, vous devez être en mesure d’expliquer pourquoi vous recueillez et traitez les données, quel type de données vous recueillez, où vous avez trouvé ces données (si vous ne les avez pas recueillies vous-même) et pendant combien de temps vous comptez les conserver.

Vous devez également leur expliquer que les gens peuvent demander de rectifier ou d’effacer les données personnelles les concernant et qu’elles ont le droit de déposer plainte auprès de l’autorité de contrôle.

Enfin, si vous utilisez une intelligence artificielle ou un logiciel automatisé pour prendre des décisions à leur sujet, vous devez expliquer comment fonctionne ce logiciel. Par exemple, si vous utilisez un algorithme qui décide si les personnes reçoivent ou non un prêt, vous devez être en mesure d’expliquer comment l’algorithme décide si une personne entre en ligne de compte pour un prêt.

Presque chacune de ces demandes d’accès peut créer un problème au niveau de la réputation de votre entreprise.

Premièrement, le simple volume de données que vous stockez peut attirer l’attention des médias (comme dans l’affaire de l’étudiant autrichien Max Schrems, qui a engagé le combat contre Facebook).

Ensuite, il existe également toutes sortes de données dites sensibles – comme le sexe, la religion, l’appartenance ethnique, ... – qui font que les gens se demandent pourquoi vous conservez toutes ces informations et contestent votre droit de les stocker.

Il pourrait y avoir des erreurs flagrantes dans vos dossiers, ce qui pourrait avoir des répercussions négatives sur votre marque. (Si vous ne parvenez pas à écrire leur nom correctement, quelle pourrait être la qualité du reste de vos opérations ?)

Et enfin, vous pourriez être contraint de restituer des informations contenant des descriptions douteuses de certaines personnes. Tous vos collègues ne sont pas des diplomates nés.

En d’autres termes, votre entreprise aura besoin de votre aide pour créer une culture des données à l’épreuve du RGPD. Les gens doivent comprendre que la protection de la vie privée est une chose importante et que tout ce qu’ils écrivent au sujet des stakeholders peut faire l’objet d’un accès ou d’une analyse.

Il est donc essentiel de créer des politiques claires sur la manière dont l’entreprise traite les données. Formez les personnes qui conservent des informations à se montrer professionnelles et irréprochables dans la manière dont elles catégorisent et décrivent les gens.

4. Gestion des stakeholders et RGPD

Une fois que vous avez réglé les exigences les plus urgentes en termes de conformité, il est temps de vous pencher sur votre propre département.

Vous vous retrouverez d’emblée dans une partie restreinte, mais néanmoins intéressante du débat sur le RGPD. Les meilleures pratiques de la communication corporate disent que vous devriez avoir une bonne vision globale de vos stakeholders.

Cela signifie que vous devez posséder, au minimum, une liste des stakeholders et de leurs représentants – ainsi qu’une certaine forme de classification et d’information au sujet de leurs opinions. Parmi les stakeholders, on peut citer :

  • Les fédérations et les associations
  • Les décideurs politiques
  • Les législateurs/régulateurs/modérateurs.

Mais également des groupes dont les objectifs peuvent être en opposition avec votre entreprise, comme

  • Des ONG et des groupes de pression
  • Des organisations syndicales
  • Des concurrents
  • Des comités de quartier
  • ... 

La question est de savoir si vous devez tous les contacter et leur demander leur autorisation pour conserver ces informations, ou bien si vous pouvez vous appuyer sur un « intérêt légitime » de conserver ces informations.

Il en va de même pour les journalistes : pouvez-vous garder une base de données de journalistes à qui transmettre vos communiqués de presse ? Votre agence de Relations Publiques peut-elle posséder une telle base de données ? Ce sont des questions épineuses qui n’ont pas encore reçu de réponse concrète, car bon nombre de cas seront tranchés par le système judiciaire.

Il y a de bonnes raisons pour que des entreprises trouvent un intérêt légitime à gérer une liste de stakeholders. Si vous êtes une usine chimique, il semble logique d’avoir une base de données de contacts dans les zones résidentielles avoisinantes, tout comme des administrations locales (le bourgmestre/maire, la police, les pompiers...) et des comités de quartier.

Le même principe peut s’appliquer aux journalistes. Vous pouvez argumenter sur le fait que l’impact des médias est tel qu’il est nécessaire de surveiller ce qu’ils écrivent et quels journalistes en particulier suivent vos activités. C’est ce qu’évoque Daryl Willcox de ResponseSource au sujet du blog de Stephen Waddington : 

« Je pense qu’une interprétation juste et raisonnable du RGPD serait que les agences de relations publiques ainsi que les départements internes fassent valoir un ‘intérêt légitime’ à conserver et à traiter des données sur les journalistes, et à contacter des journalistes pour leur fournir des informations pertinentes.

Si les professionnels des relations publiques du Royaume-Uni devaient recevoir une autorisation de chaque journaliste pour chaque client et chaque campagne (granularité du consentement inscrite dans le RGPD), cela serait désastreux pour les relations publiques et, je pense, pour le journalisme, ainsi que pour la démocratie.

Les relations publiques seraient étouffées par l’administration et aucun journaliste n’a le temps de répondre à chaque demande de consentement (ils seraient de toute manière bombardés de demandes de consentement plutôt que des présentations non pertinentes). Au final, cela engendrerait une importante barrière à l’accès aux médias, un terrible obstacle à la possibilité pour les journalistes d’écrire d’une manière juste et complète sur ce qui se passe dans la société et de demander des comptes à ceux qui détiennent le pouvoir. Rappelez-vous, l’accès aux médias devrait être un droit non seulement pour les grandes entreprises, mais aussi pour les plus petites, les organismes de bienfaisance et les groupes de pression – des organisations de tous types et de toutes tailles. »

Cet argument est tout à fait valable, mais sachez que ce n’est pas le dernier mot officiel sur le RGPD et la communication avec les stakeholders et les médias.

Ce qui est clair, c’est que vous devez être beaucoup plus explicite au sujet de vos politiques de données. Et ici aussi, vous serez contraint d’offrir un « droit d’accès » aux stakeholders.

Comment vous préparer au RGPD ?

Faites-nous savoir comment vous aidez votre entreprise à se préparer au RGPD.

Contactez-nous si vous souhaitez un scan RGPD de la communication corporate de votre organisation, dans lequel nous jetterons un œil à vos plans de communication de crise, réaliserons une analyse des risques sur vos données et les personnes concernées et examinerons vos politiques et pratiques de collecte de données.