Comment créer une politique de confidentialité qui protège votre entreprise et vos clients

En vertu de la loi sur la protection de la vie privée, un politique de confidentialité est une déclaration ou un document juridique qui divulgue tout ou partie de la manière dont une partie recueille, utilise, divulgue et gère les données d'un client ou d'un client. En règle générale, les entreprises partagent ces données client avec leurs partenaires commerciaux tiers. En informant chaque année les clients via des avis postés des pratiques de l'entreprise en matière de confidentialité concernant la collecte et la distribution. des données client/client qui sont sous la gestion de l'entreprise, les entreprises remplissent une obligation légale de protéger les données d'un client ou d'un client. confidentialité. Par exemple, voici Politique de confidentialité de Google.

De manière permanente, les gestionnaires de données au sein de l'organisation, principalement informatiques, sont chargés de garantir la sécurité et la confidentialité des données de l'entreprise.

Collectivement, les politiques de confidentialité des informations sont importantes pour le service informatique, les responsables de la conformité et les autres acteurs de l'entreprise, car si les clients informent l'entreprise qu'ils ne souhaitent pas que leurs informations personnelles soient collectées ou partagées, les entreprises doivent se conformer ces décisions; les données sur ces personnes ne peuvent pas être vendues ou distribuées à des tiers.

Dans les organisations où les données client sont extrêmement sensibles, comme dans les secteurs de l'assurance, de la finance services et soins de santé, les travailleurs doivent mettre en œuvre des mesures de protection de la vie privée afin que les informations ne soient pas divulguées par inadvertance. partagé.

Comment utiliser ces directives politiques

La manière dont vous développez et maintenez votre politique de confidentialité varie en fonction de votre entreprise, de vos clients et du secteur d'activité dans lequel vous évoluez. Les directives ci-dessous sont divisées en catégories générales que vous devez prendre en compte dans votre diligence raisonnable lorsque vous élaborez votre politique de confidentialité. En fonction de votre application métier, les points clés de chaque sujet auront différents degrés d'importance pour vous. Concentrez-vous sur les lignes directrices directement pertinentes pour votre modèle commercial lorsque vous formulez une politique qui répond la situation de votre entreprise, mais assurez-vous de passer en revue les autres sujets afin de ne pas négliger un autre domaine pertinent.

Qui devrait être impliqué

Une politique de confidentialité est une question interne qui concerne la conduite des employés avec des informations sensibles, mais elle a également un impact important et ramifications pour vos parties prenantes externes, qu'il s'agisse de votre conseil d'administration et de vos investisseurs, de vos partenaires commerciaux tiers ou de votre clients. Par conséquent, pour couvrir minutieusement tous les domaines de la vie privée, une équipe interdisciplinaire devrait travailler ensemble à l’élaboration des politiques. Cette équipe devrait comprendre :

• IL
• L'intendant des données de l'entreprise
• Conformité
• La branche administrative de l'entreprise qui garantit que l'entreprise est à jour et conforme aux directives réglementaires en matière de confidentialité.
• Le personnel juridique est au courant de la législation en vigueur et de la jurisprudence récente en matière de protection de la vie privée et doit toujours contribuer et faire preuve de diligence raisonnable sur les projets ou les révisions en matière de protection de la vie privée avant qu'ils ne soient promulgués.
• Partenaires commerciaux tiers susceptibles de souhaiter utiliser les informations de vos clients à des fins de marketing ou de recherche, mais qui doivent comprendre les limites des informations que vous pouvez leur fournir.
• Fonctions commerciales du personnel auxiliaire/sous-traitants qui ont besoin d'accéder à des informations sensibles car cela affecte directement leur capacité pour faire leur travail (par exemple, un chirurgien « invité » a besoin d'accéder aux antécédents médicaux d'un patient pour se préparer à une opération délicate).

Éléments à couvrir dans une politique de confidentialité

La confidentialité est une question qui chevauche les fonctions juridiques/conformité, marketing/relations publiques et informatique à un point tel que de nombreux éléments doivent être abordés par des équipes interdisciplinaires. Les éléments qu'une politique de confidentialité doit aborder comprennent :

• Engagements envers les clients/parties prenantes
• Comment les informations client sont collectées et utilisées
• Comment les informations client sont partagées
• Comment l'activité du compte client est suivie
• Comment les informations client sont fournies à des tiers
• Protection et sécurité des données
• Choix d'adhésion ou de désinscription que les clients peuvent faire concernant leurs informations
• Droits de confidentialité des clients
• Coordonnées de l'entreprise pour les clients ayant des questions sur la confidentialité
• Informations de connexion
• Conformité à la confidentialité
• Pratiques de confidentialité des employés
• La conservation des données
• Ces éléments peuvent être regroupés en deux catégories générales :
• Communication et marketing
• Juridique, conformité et informatique.

Communication et marketing

Engagements envers les clients/parties prenantes

La déclaration de politique de confidentialité que les entreprises adressent à leurs clients doit commencer par une déclaration de position de l'entreprise sur la manière dont elle va protéger les informations des clients. De nombreuses entreprises utilisent ce point de départ de la politique pour expliquer aux clients que leurs données seront cryptées et conservées en toute sécurité – et que les données ne seront pas vendues à des tiers. La société déclare également que la politique de confidentialité et l'accès à celle-ci seront toujours disponibles pour les clients et que chaque fois qu'il y aura un changement de politique, les clients en seront informés.

Comment les informations client sont collectées et utilisées

La politique de confidentialité délivrée aux clients doit expliquer comment l'entreprise envisage d'utiliser les informations client (par exemple, pour améliorer produits) et quelles informations client l'entreprise envisage de collecter à cette fin (informations sur le compte client, navigation histoire, etc). Si l'entreprise envisage d'utiliser/collecter des informations de localisation ou des informations personnelles résidant sur les appareils locaux des utilisateurs, cela doit également être divulgué.

Comment les informations client sont partagées

La politique de confidentialité de l'entreprise doit informer les clients de toute organisation avec laquelle l'entreprise envisage de partager ses informations client. Il s’agit généralement de sociétés affiliées ou de partenaires commerciaux tiers de l’entreprise qui, selon elle, constitueraient une valeur ajoutée pour les clients.

Choix d'adhésion ou de désinscription que les clients peuvent faire concernant leurs informations

La politique de confidentialité doit expliquer aux clients quels sont leurs choix d'adhésion ou de désinscription pour préserver la confidentialité de leurs informations. Par exemple, les entreprises peuvent donner aux clients la possibilité d'accepter (ou de refuser) les offres des annonceurs ou des partenaires commerciaux tiers ou de refuser d'anonymiser leurs données clients à des fins d'analyse rapport.

Droits de confidentialité des clients

Les clients doivent être informés de leurs droits à la vie privée en vertu de la loi. Par exemple, ils pourraient avoir le droit de demander des informations indiquant si l'entreprise a divulgué des informations personnelles à des tiers. parties, et à quels tiers, à des fins de marketing ou si la société a vendu l'une de leurs informations personnelles sans leur consentement.

Coordonnées de l'entreprise pour les clients ayant des questions sur la confidentialité

L'entreprise doit toujours fournir aux clients une adresse e-mail, un numéro de téléphone et une adresse physique afin que les clients puissent la contacter pour toute question ou commentaire concernant la politique de confidentialité.

Juridique, conformité et informatique

Comment l'activité du compte client est suivie

Les entreprises utilisent souvent des cookies pour suivre les sites Web d'où proviennent les utilisateurs et les sites Web qu'ils visitent après avoir visité le site Web de l'entreprise. De plus, les activités d'utilisation peuvent être suivies sur le site Web de l'entreprise lui-même. La manière dont ces cookies sont utilisés pour suivre les activités des utilisateurs doit être expliquée dans la politique de confidentialité, ainsi que le fait que les utilisateurs peuvent désactiver le suivi des cookies s'ils le souhaitent. Cependant, avant qu'une politique ne soit publiée auprès des utilisateurs, les services juridiques, de conformité, de marketing et informatiques doivent définir quels modèles d'activité des utilisateurs doivent être suivis et comment les informations de suivi doivent être utilisées.

Comment les informations client sont fournies à des tiers

En interne, les services juridiques, de conformité et informatiques doivent élaborer des politiques et des normes qui régissent la manière dont les informations client seront fournies à des tiers et quelles protections de la vie privée seront mises en œuvre. Dans les efforts de co-marketing où le client est informé et peut refuser de partager des données personnelles informations, l'entreprise peut partager des informations client directes et des informations de contact avec partenaires d'affaires. Dans d'autres cas, comme dans le cas d'informations d'analyse de données proposées à la vente, l'entreprise peut être tenue de anonymiser les contacts et les informations des clients individuels afin que les données ne puissent pas être retracées personnes.

Protection et sécurité des données

Les mesures de sécurité, le stockage sécurisé et la protection des données à des fins de confidentialité doivent être définis comme une politique et des procédures activées par l'informatique, qui est dépositaire des données. Les pratiques informatiques doivent respecter les directives et les normes émanant de sources juridiques et de conformité.

Informations du journal

Dans le cadre de la gestion de son réseau, le service informatique conserve des journaux de serveur qui collectent et stockent automatiquement les détails de la manière dont les utilisateurs ont utilisé les services en ligne de l'entreprise; leurs adresses téléphoniques et/ou IP, l'heure du contact, la durée du contact, etc.; le type de navigateur utilisé ainsi que les heures et dates de leurs demandes de service; et informations recueillies par les cookies sur le site Web. Du point de vue de la confidentialité, les services informatiques, juridiques et de conformité doivent définir comment ces informations doivent être utilisées en interne, comment elles doivent être protégées. garantir la confidentialité et la sécurité des personnes utilisant le site Web de l'entreprise, et dans quelles circonstances il sera permis de partager ces informations information.

Pratiques de confidentialité des employés

Pour les entreprises travaillant dans des secteurs d'information client très sensibles (santé, finance, assurance, etc.), les employés peuvent souvent être amenés à interagir avec les clients en ligne, par téléphone ou en personne. Pendant ces périodes, des informations sensibles peuvent être partagées. Guidée par les recommandations de ses services juridiques et de conformité, l'entreprise doit disposer d'un ensemble de politiques écrites qui régissent la manière dont les employés doivent traiter. clients et leurs informations privées, accompagnés d'une formation de tous les employés qui exercent des fonctions en contact direct avec les clients et/ou entrent en contact avec des information. Des politiques et procédures de confidentialité similaires doivent être adoptées pour le personnel informatique chargé de gérer et d’accéder aux informations privées des clients. Dans le cadre de ce processus, le service informatique doit conserver des journaux détaillés qui suivent l'accès des employés, du service informatique et des partenaires commerciaux aux informations client.

Conformité à la confidentialité

Les entreprises doivent élaborer des politiques et des procédures garantissant au minimum des audits annuels de la sécurité des informations et de la confidentialité des clients et des clients. d'autres informations critiques pour l'entreprise, avec des cycles d'audit traitant et documentant toute modification de la confidentialité des informations existantes les pratiques.

La conservation des données

Le service informatique, ainsi que les domaines des utilisateurs professionnels, de la conformité et des aspects juridiques, devraient revoir chaque année les politiques de conservation des données, en apportant et en documentant les révisions nécessaires. La conservation des données concerne spécifiquement la durée pendant laquelle l’historique client sensible sera conservé dans les magasins de données d’entreprise.

Élaboration et exécution de politiques

Cycles d’audit et conformité réglementaire

Les entreprises doivent vérifier auprès de leurs conseillers juridiques, régulateurs et auditeurs pour déterminer ce qui doit être audité dans les domaines de la confidentialité des informations. Dans certains cas, les entreprises peuvent également disposer de procédures d’audit interne exécutées par leurs propres équipes d’audit et de conformité. Dans le cadre du processus d'audit et de conformité, les entreprises doivent prendre des mesures pour garantir que leurs politiques de confidentialité sont à jour avec les dernières règles réglementaires et de conformité et que les mises à jour des politiques soient publiées en temps opportun aux clients, partenaires commerciaux et autres parties prenantes.

Mises à jour et approbations des politiques

Les mises à jour de la politique de confidentialité doivent être publiées immédiatement après approbation. La liste des signatures d'approbation pour ces mises à jour doit être convenue au sein de l'entreprise et doit être entièrement exécutée avant la mise en vigueur de toute mise à jour de politique. Toutes les mises à jour de la politique doivent être accompagnées d'une publication immédiate, ainsi que d'une éducation/formation pour les employés concernés par la politique. Pour chaque politique, un historique de toutes les mises à jour doit être conservé.

Approbation des politiques par les employés

Dans le cadre du processus d'orientation des nouveaux employés, il devrait être exigé que les employés affectés à des postes impliquant des problèmes de confidentialité pour recevoir une formation, lire les politiques et signer qu'ils ont lu toutes les politiques concernant la confidentialité avant de commencer leur missions. Un enregistrement de toutes les signatures des employés doit être conservé.

Infractions et sanctions

Les violations des politiques de confidentialité peuvent entraîner de graves conséquences pour les employés et pour l'entreprise. Pour cette raison, les employés doivent être informés que la violation des politiques de confidentialité peut entraîner des mesures disciplinaires. menant à et incluant le licenciement et des poursuites civiles et/ou pénales en vertu du gouvernement fédéral et/ou étatique lois. Les employés assumant des responsabilités impliquant la protection des informations privées devraient être tenus de lire et signer la déclaration de l'entreprise sur les violations et les sanctions avant de commencer leurs missions. L'entreprise doit conserver un enregistrement de ces attestations signées par les employés attestant que le mémorandum de violation/pénalités a été lu et compris.

Regarde aussi

• Des chercheurs proposent une méthode pour suivre le coronavirus via les smartphones tout en protégeant la vie privée
• Rencontrez NordSec: la société derrière NordVPN veut être votre suite de confidentialité unique
• AI: Qui est responsable de la vie privée ?
• Les entreprises ayant de mauvaises pratiques en matière de confidentialité sont 80 % plus susceptibles de subir des violations de données (TechRépublique)
• Atlas ID offre une voie axée sur la confidentialité vers un lieu de travail plus sûr (TechRépublique)