Comment rédiger une politique de confidentialité?
Indépendamment de votre orientation commerciale, vous entrez quotidiennement en contact avec des informations privées. Il vient de vos clients, de vos partenaires commerciaux et de vos fournisseurs. La façon dont vous protégez ces informations n'est pas seulement une bonne affaire, elle peut également vous aider à vous soustraire à toute responsabilité en cas de violation de données. Une politique de confidentialité claire et approfondie est l'une des caractéristiques d'une entreprise moderne bien gérée.
Partie 1 sur 3: Planifiez votre politique de confidentialité
- 1Définissez la portée de votre entreprise. C'est plus que de dire que vous vendez des widgets ou que vous êtes une entreprise de réparation de widgets. Définir le périmètre de votre entreprise signifie identifier l'ensemble de vos clients, internes et externes, et évaluer votre relation et l'échange d'informations avec eux.
- Les clients externes sont généralement ceux qui vous paient pour vos biens et services. Ce sont les clients extérieurs à votre entreprise.
- Les clients internes sont les différentes divisions et organisations au sein de votre entreprise ainsi que les fournisseurs et prestataires de services externes. Par exemple, la paie, la maintenance, les ressources humaines et la production sont tous des clients internes. Ces différentes parties de votre entreprise échangent toutes des informations et vous devez tenir compte des besoins de confidentialité de ces entités.
- 2Identifiez les flux d'informations dans votre entreprise. Les entreprises modernes prospèrent grâce aux données et aux informations. Qu'il s'agisse de l'identification des clients, des spécifications des produits, des données de vente ou des fichiers personnels, chaque coin de votre entreprise reçoit des informations en continu chaque jour.
- Vous pouvez diviser vos flux d'informations en tant que client (coordonnées, historique des achats), financier (profit, perte, ventes, taxes), commercial (fournisseurs, produits, prix, concurrents) et ressources humaines (registres des employés, salaires, barèmes de salaire).
- 3Déterminez si l'une de vos informations est médicalement liée et pourrait être couverte par la HIPAA. La loi de 1996 sur la portabilité et la responsabilité de l’assurance maladie réglemente strictement le type d’informations sur la santé qui est protégé contre la divulgation. Si votre entreprise est même associée de manière périphérique à l'industrie médicale ou aux soins aux patients, envisagez de consulter un avocat connaissant bien la HIPAA pour obtenir des instructions sur les informations de santé protégées.
- 4Passez en revue vos informations pour les exigences de confidentialité du client. Si votre entreprise est, de quelque manière que ce soit, liée à la profession juridique ou au système judiciaire, vous pouvez entrer en contact avec des informations confidentielles sur les clients. Si tel est le cas, envisagez de consulter un avocat pour savoir comment gérer et protéger ces données.
- 5Comprenez la loi. Outre HIPAA, votre entreprise peut être couverte par d'autres lois. Il est de votre responsabilité de connaître et de respecter ces lois lorsque vous interagissez avec vos clients et clients potentiels.
- Si vous communiquez avec les clients et commercialisez par e-mail, la loi CAN-SPAM peut s'appliquer à vous. Cette loi exige que vos e-mails soient identifiés comme des publicités, incluent une clause de désabonnement pour les destinataires et affichent clairement votre adresse postale. Le non-respect de ces règles peut entraîner des amendes et même des poursuites pénales.
- Votre entreprise et votre site Web, ou votre application mobile, peuvent attirer et cibler les enfants en tant que clients potentiels. Si votre public cible est constitué d'enfants de moins de 13 ans, vous devez vous conformer à la loi sur la protection de la vie privée en ligne des enfants (COPPA). Cette loi exige que vous énonciez clairement votre politique, que vous disposiez de dispositions relatives au consentement parental et que vous donniez aux parents l'accès aux données que vous collectez. Il a également des exigences strictes en matière de conservation des informations.
Partie 2 sur 3: créer une politique de confidentialité pour les clients externes
- 1Protégez les clients externes. Une violation de la confiance des clients peut endommager irrémédiablement votre entreprise. Sur votre site Web et dans la publicité imprimée, vous devez indiquer clairement que vous avez une politique de confidentialité qui comprend les informations personnelles que vous collectez et comment vous les utilisez.
- La politique de confidentialité pour les clients externes doit être rédigée dans un langage clair et simple et facile à comprendre. Gardez le langage technique au minimum.
- Au minimum, votre politique de confidentialité client doit indiquer si votre site utilise des cookies (petits programmes qui stockent des informations client pour rendre le site plus rapide) et comment vous utilisez leurs données.
- Pour les sites Web qui utilisent des cookies, ajoutez une phrase à l'effet "Ce site Web utilise des cookies à [fin]. En utilisant notre site, vous consentez à l'utilisation de cette technologie." Soyez explicite sur vos raisons.
- 2Élaborez une politique sur la collecte de données sur les clients. Si votre modèle commercial inclut la vente ou la distribution de données clients, cela doit être clairement indiqué dans vos conditions de service. Une politique typique inclut la langue que par le client utilisant votre site, il consent à la collecte et à la distribution de ses informations de contact. Par exemple, "En accédant à ce site, nous collecterons des données telles que [informations] et ces données peuvent être partagées avec nos partenaires commerciaux et publicitaires. L'utilisation de ce site signifie que vous consentez à cette collecte et à cette distribution de données."
- Il est beaucoup plus courant de déclarer que vous ne vendrez ni ne partagerez aucune donnée client. Cette déclaration est beaucoup plus susceptible de gagner la confiance de vos clients. "Nous ne vendrons vos informations personnelles à personne, à quelque fin que ce soit. Période."
- 3Créez un programme de désactivation des e-mails. Si votre entreprise ou votre site Web collecte des adresses e-mail dans le cours normal des affaires, par exemple en exigeant un e-mail pour effectuer une transaction, vous devez avoir une politique permettant aux clients de se désabonner ou de ne plus recevoir d'e-mails publicitaires de votre part. Ceci est requis par la loi CAN-SPAM. Vos publicités par e-mail doivent également inclure les informations de désinscription.
- Le langage de désactivation doit être explicite et facile à utiliser pour les clients. La plupart des listes de diffusion par e-mail et des programmes publicitaires incluent un processus de désinscription automatique. "Si vous ne souhaitez plus recevoir d'e-mails, cliquez ici et votre nom sera supprimé de la liste de diffusion." Si vous gérez manuellement votre liste de diffusion, ajoutez un lien vers votre adresse e-mail et supprimez le client de votre base de données de messagerie.
- 4Ayez un processus de plainte et respectez-le. Votre site Web et vos publicités commerciales doivent inclure un point de contact et une procédure de réclamation. Si vous recevez une plainte concernant une utilisation abusive des informations client, vous devez en assurer le suivi et la résoudre à la satisfaction du client. Sinon, vous pourriez vous retrouver sous enquête de la Federal Trade Commission.
- Votre procédure de réclamation peut être aussi simple qu'un lien vers votre adresse e-mail avec une déclaration, "Si vous ne souhaitez pas recevoir de communication de notre part ou pensez que vos informations n'ont pas été traitées correctement, cliquez sur [hotlink]."
- 5Suivez les meilleures pratiques de l'industrie. À mesure que la technologie continue de se développer et de s'améliorer, les lois et les procédures de protection de la vie privée des clients évoluent également. Les entreprises que vous connaissez et respectez affinent et mettent continuellement à jour leurs politiques de confidentialité. Leurs conditions d'utilisation peuvent être un guide ou un modèle pour créer les vôtres. Si vous avez des doutes sur l'adéquation de la politique de confidentialité de vos clients externes, envisagez de consulter un avocat.
- Passez en revue votre politique de confidentialité et vos conditions de service annuellement ou lorsque vous lancez un nouveau programme de site Web, une campagne publicitaire ou une application mobile.
- 6Créez une politique pour les entreprises hors site Web. Si votre entreprise ne possède pas de site Web, vous devez tout de même rassurer votre client sur le fait que ses noms, adresses et informations de carte de crédit sont sécurisés. Il peut s'agir d'un simple document ou d'un dépliant que vous donnez à un nouveau client, que vous incluez dans des mailers ou que vous avez sous la main si un client le demande.
- Une déclaration selon laquelle vous ne vendrez ni ne distribuerez leurs données.
- Un moyen de vous inscrire à votre liste de diffusion de prospectus, catalogues, e-mails et autres publicités, ainsi qu'une méthode simple pour supprimer des noms de la liste.
- Une déclaration sur la façon dont les ventes par carte de crédit sont traitées et que les informations ne sont pas conservées sur place.
- Vous aurez également besoin d'un processus de réclamation concernant la politique de confidentialité. Demandez à votre client de lui faire part de ses préoccupations par écrit et de le soumettre par courrier ou par courrier électronique. Cela vous protège et vous garantit de comprendre les préoccupations du client.
Partie 3 sur 3: créer une politique de confidentialité pour les clients internes
- 1Assurer la confidentialité des employés dans le service des ressources humaines. Dans le cadre de l'embauche et au cours de l'emploi, les entreprises rassemblent de nombreuses informations privées sur leurs salariés. Non seulement les informations de contact, mais en cette ère de sécurité et de contrôle accrus, les entreprises peuvent également collecter des rapports de fond, des informations de crédit et des données médicales. Pour vous protéger des poursuites judiciaires et pour favoriser la bonne volonté de vos employés, vous devez disposer d'une politique de confidentialité interne qui traite de la sécurité des informations des employés.
- Sécurisez physiquement vos fichiers papier. Les dossiers des employés doivent être conservés dans des classeurs verrouillés avec un accès limité.
- Assurez-vous que l'accès à l'ordinateur est protégé par mot de passe, qu'il dispose d'un accès limité et d'une sécurité logicielle adéquate.
- Créez une politique de conservation des enregistrements claire et respectez-la. Les dossiers pré-emploi tels que les rapports de solvabilité et les tests de dépistage de drogues doivent être purgés dès que possible. Gardez une note des résultats, mais jetez les copies papier à moins que la loi ne l'exige pour le poste.
- 2Sécurisez votre réseau. Les réseaux sans fil plus anciens ou mal installés peuvent créer des points d'accès Wi-Fi involontaires dans et autour de votre entreprise. Un réseau non sécurisé peut permettre à quelqu'un d'accéder à vos enregistrements. Si aucun membre du personnel ne peut évaluer la sécurité de votre réseau, consultez un professionnel de l'informatique et effectuez une mise à niveau si nécessaire. Vos protocoles de sécurité réseau doivent être référencés dans votre politique de confidentialité.
- Si vous installez un nouveau réseau ou envisagez des mises à niveau majeures, envisagez de faire appel à un professionnel de l'informatique pour installer, sécuriser et tester le réseau. Même si vous avez installé vous-même le premier réseau, vous n'êtes peut-être pas au courant des dernières menaces et vulnérabilités de votre réseau et de vos logiciels.
- 3Créer une politique de médias sociaux sur le lieu de travail À l'ère des smartphones et de la connectivité instantanée, votre entreprise doit avoir une politique clairement définie pour l'utilisation des médias sociaux pendant les heures de travail. De nombreuses entreprises ont une politique vague sur l'utilisation des ordinateurs de l'entreprise à des fins personnelles. La vérité est que le téléphone ou la tablette moyen est probablement plus rapide et dispose d'une meilleure connexion Internet. Un employé peut tweeter à propos du déjeuner et la photo indique le nom de votre plus gros client ou les chiffres de vente récents sur un document à côté de son sandwich.
- Interdire toute utilisation des médias sociaux pendant les heures de travail affectera le moral et sera difficile à appliquer. À moins que l'employé ne se trouve dans une zone de haute sécurité, comprenez que l'utilisation du courrier électronique et des médias sociaux va se produire et élaborez des politiques pour que cette utilisation soit minimale et non perturbatrice.
- Une politique de médias sociaux bien conçue explique la nécessité de respecter la vie privée et les processus de travail des clients en énonçant les conséquences spécifiques de la violation de ce respect. Insistez également sur le fait que les plaintes concernant le travail et les patrons sur les réseaux sociaux reflètent mal l'entreprise et, si cela se produit pendant les heures de travail, peuvent soumettre l'employé à des procédures disciplinaires.
- Votre politique de médias sociaux devrait également énumérer tout ce qui est interdit et les conséquences potentielles. Des exemples de ceci seraient des activités qui enfreignent la vie privée des patients, la confidentialité des clients ou enfreignent les règles contre la divulgation d'informations sur des enfants mineurs et des étudiants. Détailler et appliquer cette politique pourrait aider l'entreprise à se défendre contre une action en justice.
- Les meilleures pratiques pour les politiques de médias sociaux incluent l'exigence de The Gap que les employés contactent l'équipe des médias sociaux s'ils font une erreur, et Hewlett-Packard indique clairement qu'ils se réservent le droit de consulter, modifier et même supprimer les articles de blog et de médias sociaux publiés sur son nom.
- 4Sécurisez les informations du fournisseur. Les entreprises qui traitent avec votre entreprise doivent pouvoir se fier à ce que les informations, notamment les offres, les estimations, les listes de prix, les coordonnées, les listes de clients et les processus internes, soient respectées et sécurisées. Votre politique de confidentialité interne doit comporter un processus permettant de marquer les informations des fournisseurs comme confidentielles et de les garder en sécurité à la fois sur papier et sous forme électronique.
- 5Présentez les réussites des politiques. Tous les chefs d'entreprise ne reconnaissent peut-être pas que même ces types de documents sont l'occasion de souligner ce qu'une entreprise a bien fait. Incluez toute déclaration de fait qui reflète bien l'entreprise ou l'entreprise.
Lisez aussi: Comment participer à la découverte formelle?
Les commentaires (2)
- Cela m'a aidé à en savoir plus sur la politique de confidentialité.
- Très clair et bien agencé.
Lisez aussi:
Avertissement légal Le contenu de cet article est pour votre information générale et n'est pas destiné à se substituer à des conseils professionnels en droit ou en finance. De plus, il n'est pas destiné à être utilisé par les utilisateurs pour prendre des décisions d'investissement.
En parallèle