RGPD et CCPA : pourquoi le droit d’accès aux données reste-il le talon d’Achille des organisations en matière de protection des données et de confiance des clients – Partie 2

Ce blog est le second d’une série consacrée aux demandes d’accès aux données par les personnes concernées (DSAR) et à son importance pour regagner la confiance des clients.

 

 

Dans la première partie de cette série, j’ai expliqué ce qu’est une demande d’accès aux données par les personnes concernées (DSAR) et pourquoi les organisations devraient s’en préoccuper. Maintenant, voyons comment le processus peut être perçu par les clients. Notre récente étude autour du RGPD montre que la route peut être assez tortueuse.

 

Un parcours un peu rude pour les clients

Il y a toujours eu un écart important entre la façon dont les organisations croient performer en matière d’expérience clients et la perception de ces derniers. Et la confidentialité des données ne fait pas exception : parmi les entreprises que nous avons interrogées, 93 % affirment fièrement dans leurs conditions générales sur la confidentialité qu’elles répondront aux demandes d’accès aux données des clients dans les délais imposés par la législation et les procédures pour déclencher ces demandes sont également documentées. Cependant, dans la plupart des cas, le fait de suivre les instructions révèle un énorme déficit d’exécution, mettant en évidence le non-respect par les entreprises de leurs propres promesses (légales).

 

En raison de ce déficit d’exécution, non seulement les organisations se mettent dans une situation embarrassante, en donnant des preuves formelles de non-conformité, mais elles exposent leurs inefficacités au grand jour, ce qui a un impact négatif sur leur réputation et sur la fidélité de leurs clients.

 

Faire valoir son droit d’accès aux données s’avère être une route longue et sinueuse. Notre étude a montré que les inefficacités commencent souvent dès l’envoi d’une demande. Seules quelques-unes des organisations sondées ont envoyé un avis pour confirmer qu’elles avaient reçu la demande et qu’elles y donnaient suite. Ensuite, seulement 20 % des organisations avaient un processus officiel de vérification d’identité. Il s’agit d’un problème grave, car d’autres recherches ont souligné que les règlements sur la protection des données personnelles, lorsqu’ils ne sont pas correctement mis en œuvre, peuvent entraîner des atteintes à la sécurité pour les vols d’identité.

 

Bien que nous ayons clairement indiqué que notre demande était liée à l’accès aux données et à la portabilité, cela a créé une certaine confusion pour certains. Certaines entreprises nous ont demandé de leur expliquer ce que nous entendions par là et même ce qu’était le RGPD ! Certaines ont considéré par inadvertance que nous voulions exercer notre droit à l’oubli et ont commencé à effacer nos données personnelles. Tous ces échecs montrent l’absence d’un processus bien défini ou des difficultés à le faire fonctionner avec les ressources adéquates. Tout cela nuit gravement à la confiance des clients.

 

D’autres échecs étaient liés à des expériences hachées ; certaines organisations nous ayant redirigés vers d’autres canaux ou vers des étapes supplémentaires nécessitant des actions de notre part mais ne donnaient aucune suite. Certaines organisations semblaient rendre le processus intentionnellement fastidieux, comme un organisme public qui répondait à la demande par des pages imprimées physiquement disponibles à leur agence locale qui n’est ouverte que pendant les heures de travail. Certaines entreprises nous ont aussi demandé une série de données personnelles comme condition préalable à la satisfaction de notre demande (identité, numéro de fidélité, date d’anniversaire, données transactionnelles…) et nous n’avons jamais eu de nouvelles d’elles lorsque la balle était de leur côté.

D’autres ont envoyé des données incomplètes, comme cette compagnie d’assurance qui a oublié de mentionner la moitié des contrats actifs du demandeur. Feriez-vous confiance à une telle compagnie pour assurer votre vie, votre patrimoine et les autres membres de votre famille alors qu’elle est incapable de retrouver l’intégralité de vos contrats ? La plupart des compagnies semblent ignorer que les clients qui déclenchent leur droit d’accès aux données sont ceux qui se soucient le plus de leur vie privée et qui, par conséquent, pourraient arrêter toute relation contractuelle ou partager leur expérience avec leurs pairs lorsque leur demande n’est pas correctement satisfaite. L’impact sur les marques est encore plus important lorsque les mauvaises expériences sont partagées sur les réseaux sociaux.

Nous savons tous qu’il peut être difficile d’avoir une vue à 360 degrés de ces clients, mais les demandes d’accès aux données par les personnes concernées (DSAR) obligent les organisations de rendre le processus transparent pour leurs clients et les organismes de réglementation.  

 

De plus, les délais comptent. Notre enquête a montré que de nombreuses entreprises ont des difficultés à respecter le délai de 30 jours imposé par le RGPD. Celles qui ont réussi, ont répondu avec un délai moyen de 16 jours. Bien que cela soit suffisant d’un point de vue juridique, il faut penser ce délai du point de vue du client. À l’ère du tout numérique, un délai de réponse de plus de deux semaines ressemble à une décennie ! De plus, notre recherche a montré une corrélation entre la rapidité et la qualité des réponses : dans l’ensemble, les 50% d’entreprises qui ont pu répondre à la demande en moins de 16 jours ont eu tendance à fournir un meilleur résultat que l’autre moitié qui ont répondu avec des délais plus longs.

 

Un point à retenir de cette étude est que vous ne pouvez pas cacher à vos clients vos faiblesses lorsque vous répondez à une demande d’accès aux données par les personnes concernées. Lorsqu’elle est traitée de manière ad hoc ou d’une manière qui n’est pas centrée sur le client, votre client le verra. Il se peut que cela ne se termine pas par une amende, mais cela peut nuire à votre relation client d’une manière ou d’une autre.

 

C’est pourquoi nous recommandons de considérer ce processus du point de vue du client, au-delà de la simple conformité. Les processus de gouvernance des données doivent être définis en tenant compte des attentes des clients.

 

Le troisième et dernier post portera sur les clés de la réussite. 

Pour en savoir plus sur l’impact d’une conformité orientée client, lisez l’histoire d’Air France KLM.  

Participer aux discussions

0 Comments

Leave a Reply