Pourquoi anticiper la violation de données dans son dispositif de gestion de crise ?

Fin mars 2018, le scandale Cambridge Analytica a été lourd de conséquences pour Facebook : un cours de bourse qui dévisse de 8 milliards de dollars et la suppression de plusieurs millions de profils utilisateurs privant ainsi le réseau social de revenus publicitaires immédiats. Sans compter la perte de confiance de 40 % des internautes qui grèvera certainement les comptes à moyen terme du GAFA.

 

Cette actualité nous enseigne que les impacts d’une violation de données ne se bornent pas à une éventuelle sanction financière appliquée par les autorités de contrôle. Ils sont plus vastes et s’appliquent sur le long terme : perte de confiance des clients, des utilisateurs, des partenaires, impactant directement ou indirectement l’activité, voire la pérennité de l’entreprise.

 

Une réalité bien comprise par la chaîne hôtelière Marriott, qui face à une violation massive de données de ses clients a déployé une stratégie de communication particulièrement efficace et rapide, laissant penser que ce type de scénario avait été intégré aux scénarios redoutés. En effet, lorsque la presse a titré sur le vol des informations confidentielles de près d’un demi-milliard de leurs clients de leur réseau d’hôtels Starwood, Marriott avait déjà déployé des mesures concrètes de communication et de réduction des impacts : publication d’un communiqué expliquant les faits, mise en place d’un centre d’appel et d’un site Internet dédié permettant aux clients de savoir s’ils ont été touchés, et de suivre une éventuelle utilisation des données.

Ces affaires de violations de données ont éclaté dans un contexte très suspicieux quant à l’utilisation des données mais aussi dans un contexte médiatique très dynamique, quelques mois après l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD). Dorénavant, tout incident portant atteinte à la vie privée des résidents européens est sujet à une couverture médiatique sans commune mesure avec ce qu’elle n’était sous l’ère de la loi Informatique et Libertés de 1978.

 

Plus encore, elles apparaissent dans un contexte sociétal où la protection des datas devient une préoccupation majeure pour de nombreux consommateurs et utilisateurs. D’après une étude : « En 2017, 85 % des Français se disent préoccupés par la protection de leurs données personnelles en général, soit une augmentation de 4 points par rapport à 2014 » .

 

Face à l’inquiétude des internautes et des clients, les entreprises ont décidé de communiquer sur une utilisation des données à caractère personnel conforme au Règlement Européen. Cependant, l’écart entre le message et la mise en application est très souvent considérable. Ce décalage risque d’accroitre les effets d’une crise et de réduire drastiquement la marge de manœuvre des entreprises confrontées à une violation de données de grande ampleur.

Sur la route, attacher sa ceinture n’empêchera pas l’accident mais en limitera l’impact. De même, se doter d’un dispositif de gestion de crise n’empêchera pas la survenance d’une violation de données mais en minimisera les conséquences.

 

Anticiper est donc le mot d’ordre. Il faut identifier des scenarii de crise pour déterminer les capacités opérationnelles nécessaires et les actions de remédiation associées. Il est aussi capital d’intégrer une stratégie de communication de crise, vous conférant un avantage stratégique majeur : contrôler l’espace médiatique en s’exprimant le premier, limitant les conséquences sur votre activité et réputation.

Enfin, tester votre plan de gestion de crise est une condition sine qua non à la coordination des équipes et à la prise de décision : la pertinence et l’exactitude des informations remontées aux directeurs et COMEX permettront de déployer des mesures adaptées.

 

A l’heure où le risque réglementaire induit indubitablement le risque réputationnel, il est vital de connaître le niveau réel d’exposition et de vulnérabilité de votre organisation, qu’il s’agisse de vos pratiques marketing ou de la sécurité effective des données personnelles dont vous avez la responsabilité. Sans cela, toute organisation devra subir ce que les Etats et armées appellent la surprise stratégique. Pour paraphraser le Général d’Armée Pierre de Villiers, elle est l’apanage de ceux qui n’ont pas su prévoir. Ceux finalement qui se sont refusés à prévoir et imaginer les scénarii les plus imprévisibles.

Cette tribune a été rédigée par Cécilia Henry-Audebrand, consultante au sein de l’activité Security4Business de Magellan Consulting.