La protection des données est l’un des sujets clés chez Spaycial. Nous avons déjà évoqué les principaux textes allant dans ce sens, avec la DSP2 et le RGPD. Ces nouvelles réglementations progressent au même rythme que l’utilisation du numérique dans le monde, et en particulier en Europe. Le privacy by design fait partie de ces nouvelles obligations, en matière de conception de produits et de services pour les marques. Nous vous expliquons en quoi consiste cette notion et comment nous l’appliquons, en compagnie de Nurgül Sivasli, notre Data Protection Officer (DPO).
Définition et applications du privacy by design
Il est un des nouveaux principes introduit par la réglementation RGPD et s’inscrit dans le cadre des efforts et obligations de conformité des entreprises. Chaque action d’une entreprise doit tenir compte de la protection des données personnelles du shopper, et ce dès la conception d’un produit ou d’un service. Il s’agit d’une sécurité supplémentaire pour ce shopper bénéficiant d'offres personnalisées grâce à la donnée de paiement, comme Spaycial peut le proposer.
En utilisant le privacy by design, le ou la DPO accompagne et conseille son entreprise afin d'intégrer la protection des données dans tous les processus opérationnel, et plus particulièrement les processus de développement des produits et des services. Cela se fait le plus en amont possible, dès le démarrage du projet et jusqu’à la conception finale du produit. Par la suite, le ou la DPO veille à maintenir ce cycle de protection de manière continue.
Nurgül Sivaslı le précise :
“Chez Spaycial, avant tout lancement d’un nouveau produit ou d’un service, comme par exemple notre service “Shopping scoring”, en tant que DPO je suis consultée par les équipes techniques afin de nous assurer de la licéité du traitement et notamment du choix de la base légale : consentement, contrat ou intérêt légitime. Suivre le principe de ‘privacy by design’ permet d’anticiper en conséquence les obligations de transparence et les droits des utilisateurs et ce d’autant plus que la pédagogie envers le consommateur est primordiale et représente le réel défi dans le domaine du paiement. Enfin, la mise en œuvre de ce principe permet d'assurer que seules les données adéquates, pertinentes et strictement nécessaires sont traitées.”
Le privacy by design s’accompagne du privacy by default. Ces principes s'illustrent évidemment par l'intégration de normes de sécurité conformes aux règles de l’art (règles RTS et authentification forte) et par une gouvernance de la sécurité des données à caractère personnel dans tous nos projets et décisions.
Les 7 grands principes du privacy by design
Il existe de nombreux principes fondamentaux du privacy by design qui, s'ils sont respectés, permettent de concrétiser les efforts de conformité en matière de protection des données de paiement. Voici les 7 principes du privacy by design, tels qu’appliqués par les spécialistes de la donnée de paiement.
- 1, Adopter des mesures préventives et proactives, et pas seulement des mesures correctives. La prévention passe notamment par la formation et sensibilisation des collaborateurs.
- 2. Proposer des produits et services en précisant le niveau de confidentialité par défaut.
- 3. Intégrer la confidentialité et les fonctionnalités de protection de la vie privée dans le processus de conception de chacun des produits et services, dès que possible : les données sont anonymisées.
- 4. Faire attention à ce que la confidentialité et la sécurité se complètent mais ne s’annulent pas : les deux notions doivent être complémentaires et êtres différenciées de manière explicite.
- 5. Fournir au shopper tous les détails dont ils ont besoin sur notre respect des différentes réglementations et sur sa mise en pratique : accessibilité et transparence sont les maîtres-mots.
- 6. Assurer la sécurité de bout en bout : la protection de la vie privée des shoppers dont les données sont collectées est assurée tout au long de la collecte, mais aussi la conservation de ces dernières grâce à des techniques de chiffrement.
- 7. Respecter la vie privée des shoppers : le service doit être centré sur ce dernier.