Vous l'avez sûrement remarqué (ou même en avez été victime) : la fuite de données chez Odido. Elle est rapidement devenue l'un des plus grands incidents de cybersécurité aux Pays-Bas : les données de millions de clients sont tombées entre les mains du groupe de hackers ShinyHunters. Ce qui a commencé comme un problème technique s'est rapidement transformé en une crise de communication, où le flou et le retard d'ODIDO ont encore plus sapé la confiance de tous les clients.
Les rapports de NOS et NRC, entre autres, ont montré que les clients restaient pendant des semaines avec des questions fondamentales. Quelles données ont été précisément divulguées ? S'agissait-il seulement des coordonnées ou aussi des numéros d'identité ? Et pourquoi les données des anciens clients étaient-elles encore enregistrées ? Lorsque les hackers ont menacé de publication et ont finalement mis les données en ligne, l'attention s'est déplacée de l'incident lui-même à la gestion de la communication. Et cela crée un cas intéressant dans le monde des relations publiques.
L'incertitude nourrit la méfiance
Il était remarquable que de nouveaux détails soient régulièrement rendus publics par des journalistes et non par l'entreprise elle-même. Cela donne l'image d'une organisation qui réagit au lieu de diriger - alors qu'en période de crise, il ne s'agit pas seulement de ce que vous dites, mais surtout de quand et comment vous le dites. Un porte-parole d'Odido a déclaré dans les médias : “En ce moment, tous nos efforts sont concentrés sur l'information et le soutien des clients de la meilleure façon possible sur ce qui s'est passé.”
Cette formulation est empathique et réfléchie, mais dans une crise de cette ampleur, l'empathie n'est que le début. Les clients veulent des explications concrètes sur leurs risques personnels et des instructions claires sur les prochaines étapes. De plus, nous venons de mentionner dans l'introduction de ce blog que les clients attendaient justement très longtemps des clarifications, ce qui va à l'encontre de "informer et soutenir les clients de la meilleure façon possible".
Le rôle du leadership et de la préparation
Surtout dans les fuites de données, où la confidentialité et la sécurité influencent directement la vie quotidienne des gens, le public s'attend à un leadership visible. Dans des blogs précédents sur la formation aux médias et la communication de crise, nous avons déjà souligné que les porte-parole doivent non seulement être solides sur le fond, mais aussi communiquer de manière cohérente et compréhensible sous pression.
Une crise exige plus qu'un seul communiqué sur le site web : de la transparence sur ce qui est connu, de l'honnêteté sur ce qui est encore en cours d'investigation et des explications claires sur ce que les clients peuvent faire maintenant. Que ODIDO ne puisse pas, par exemple, expliquer pourquoi elle conservedes données personnelles d'anciens clients pendant plus de deux ans, joue à nouveau contre elle.
Quand la communication se fait par étapes ou est incomplète, l'explication doit être d'autant plus compréhensible. Que ODIDO ne paie pas les hackers, après quoi les données sont mises sur le dark web, a conduit à encore plus d'incompréhension chez les consommateurs. La déclaration d'un porte-parole d'ODIDO était "Notre focus est sur les clients", mais de nombreux clients auraient préféré que les données ne soient pas publiées.
La leçon pour les équipes PR
La fuite de données chez Odido montre que les dommages à la réputation sont rarement causés uniquement par l'incident lui-même, mais surtout par la manière dont une organisation communique pendant que l'incident se développe.
Une fuite de données peut arriver à n'importe quelle entreprise, car une couche de sécurité numérique n'est jamais totalement hermétique. Ainsi, une crise est parfois inévitable, mais avec une communication cohérente, transparente et axée sur l'humain, une crise de communication ne doit pas l'être.
