« La protection des données est l’affaire de tous·tes »
Après 23 ans d’expérience aux Chemins de fer fédéraux (CFF), Jonathan Keller a rejoint Digitec Galaxus il y a un an pour s’occuper de la protection des données ; une tâche très importante pour un commerçant en ligne qui compte plusieurs millions de client·es. Jonathan explique comment il perçoit la sensibilisation à la protection des données chez Galaxus et la façon dont il souhaite l’améliorer.
La maison-mère de Facebook, Meta, devra payer 390 millions d’euros d’amende pour violation de la protection des données. Aucune entreprise ne souhaite lire ce genre de choses à son sujet. Qu’en est-il de notre politique de protection des données ? Les données de nos clientes et clients sont-elles en sécurité ? As-tu peur des amendes ?
Notre modèle commercial est heureusement très différent. Nous vendons des produits, pas des données. C’est la raison pour laquelle les lourdes sanctions ne me font pas peur. À cela s’ajoute le fait que la confiance en Galaxus et Digitec est un bien précieux. Une perte de données serait une catastrophe, d’autant plus que nous venons à peine de nous lancer dans des pays comme l’Autriche, la France ou l’Italie. Nous mettons tout en œuvre sur le plan technique pour que les données restent en sécurité, mais parler de 100 pour cent de sécurité serait un mensonge. C’est une optimisation constante, il n’y a jamais de garantie.
Que peuvent donc faire les client·es pour garantir la sécurité de leurs données ?
L’expérience montre qu’un nombre étonnamment élevé de personnes utilisent un seul mot de passe pour plusieurs plateformes différentes. Elles devraient faire un petit effort et en utiliser d’autres pour les différentes plateformes. Les mots de passe doivent être complexes, avec des majuscules et des minuscules, des chiffres et encore des caractères spéciaux. Pour celles et ceux qui trouvent cela trop difficile, il existe des outils de gestion des mots de passe qui permettent de simplifier la tâche. Bien sûr, ces outils peuvent également être piratés, mais le risque est bien plus grand lorsqu’on utilise le même mot de passe sur plusieurs sites. Il est aussi conseillé d’opter pour l’authentification à deux facteurs, c’est-à-dire de se connecter avec un élément de sécurité supplémentaire. Les comptes sont ainsi nettement plus sûrs. Galaxus offre cette possibilité et explique ici comment l’activer.
Comment devient-on responsable de la protection des données chez Galaxus ?
C’est peut-être plus facile de dire comment je n’y suis pas arrivé : je ne suis pas juriste, ni avocat. J’ai travaillé pour le département marketing, puis dans la direction de projets informatiques des CFF. La protection des données joue depuis longtemps un rôle important dans le marketing et l’informatique. Lorsque le Règlement général sur la protection des données (RGPD) est entré en vigueur dans l’UE en 2018, de nombreuses entreprises suisses étaient mal préparées. On en avait entendu parler, mais personne ne s’en préoccupait. C’est comme ça que je me suis retrouvé là-dedans et que j’ai décidé de me consacrer à ce thème. J’ai sans doute touché une niche sans le vouloir. Des personnes qui s’y connaissent en matière de protection des données, mais qui comprennent aussi le « business ». D’ailleurs, cela reste passionnant en Suisse aussi, car, cette année, une nouvelle loi sur la protection des données sera adoptée.
Est-il donc indispensable d’avoir des connaissances en marketing ou en informatique pour devenir protecteur de données ?
Non, pas du tout. Je pense toutefois que le thème est plus facile à maîtriser si l’on s’y connaît un peu. De plus, la protection des données peut rapidement devenir très technique. Les aspects juridiques peuvent être complexes, mais on peut souvent les comprendre même si l’on n’est pas juriste. La protection des données nous concerne tous·tes dans notre vie quotidienne, c’est pourquoi nous avons souvent l’occasion de nous y intéresser.
Tu as commencé à travailler chez nous il y a environ un an. Que penses-tu de la sensibilisation à la protection des données au sein de l’entreprise ? Est-ce que tout le monde est content de te voir arriver ou lève les yeux au ciel, genre « oh nan, c’est encore celui qui s’occupe de la protection des données... » ?
J’ai rencontré ici une culture très ouverte, les gens s’intéressent au sujet, ce qui ne va pas de soi. Quelques personnes se sont certainement réjouies que nous y consacrions plus de ressources.
Les réactions ont-elles été différentes d’un département à l’autre ?
Certains domaines sont plus concernés que d’autres, comme le marketing, le service client·es ou les RH. Notre Product Development doit également réfléchir à la protection des données lorsque de nouvelles fonctions apparaissent dans la boutique. En fait, tous les départements ont réagi à peu près de la même façon. Cela dit, les domaines les plus touchés sont particulièrement désireux de faire avancer les choses. Bien sûr, il y a parfois des discussions. Le respect des droits peut effectivement représenter une charge de travail supplémentaire, ce qui peut être un véritable challenge, surtout quand il faut faire vite.
Comment as-tu vécu la culture du travail chez Digitec Galaxus ?
Les valeurs de l’entreprise sont écrites noir sur blanc et sont en ligne et, en fait, elles sont souvent vécues de la même manière en interne. Toutes les entreprises revendiquent des valeurs, mais chez nous, on essaie vraiment de s’y tenir. C’est fascinant de pouvoir maintenir le groove d’une start-up alors que nous sommes désormais plus de 2500 collaborateur·rices.
Actuellement, tu fais cavalier seul en matière de protection des données chez nous. Cela peut-il rester ainsi ?
Je suis le seul à avoir ce titre, c’est vrai. Mais j’ai mes interlocuteur·rices pour la protection des données dans tous les départements et je travaille en très étroite collaboration avec notre service de sécurité informatique. La protection des données est l’affaire de tous·tes. Par exemple, chaque agent du service client·es doit connaître les bases dans son domaine. Pour ce faire, nous misons sur des formations sur mesure pour les différents départements.
Est-ce vrai que les employé·es doivent payer de leur poche les amendes s’iels commettent une infraction en matière de protection des données ?
Ce n’est généralement pas le cas au sein de l’UE, où ce sont en principe les entreprises qui sont responsables et qui peuvent alors se voir infliger de lourdes amendes. C’est une grande différence par rapport à la nouvelle loi sur la protection des données en Suisse, où l’amende va effectivement à la personne privée et peut s’élever à jusqu’à 250 000 francs suisses. Mais il faut que quelque chose de très grave se produise. Les collaborateur·rices qui connaissent et respectent les bases n’ont rien à craindre.
Merci pour cet entretien !
Photos : Christian Walker
Un faible pour les bonnes séries, la musique forte, la science-fiction et le football (de deuxième division). En tant que responsable des relations publiques, je suis à la disposition des journalistes pour répondre à toutes leurs questions sur Galaxus et le commerce électronique honnête.