RGPD : comment vérifier la conformité de son CRM + 3 logiciels compatibles
La mise en conformité d’une solution CRM au RGPD — le Règlement Général sur la Protection des Données personnelles — concerne chaque entreprise : depuis mai 2018, l’entité est en effet responsable de la collecte et du traitement des informations de ses clients, de ses prospects au regard de la CNIL. Une mise à jour des outils s’impose donc : ils doivent garantir à vos contacts un total respect de leur vie privée, vous permettre de gérer les consentements et les accès personnalisés en toute sécurité. La même règle est applicable pour votre prospection commerciale ou votre campagne marketing : votre utilisation d’un logiciel de gestion de la relation client doit respecter la loi européenne.
Passons en revue les fonctionnalités et les solutions qui vous permettent d’honorer vos obligations :
Comprendre le RGPD et ses obligations
Le RGPD (ou GDPR en anglais) responsabilise toutes les entreprises, les marques et les acteurs du Cloud, quel que soit leur activité. Voici quelques informations pour mieux comprendre comment cette loi s’applique au domaine informatique et à l’univers digital.
Protéger les données personnelles de ses clients
Le nouveau règlement européen renforce les droits de chaque personne résidant en Europe. Les entreprises sont désormais responsables des données collectées et de leurs traitements.
L’objectif de la mise en conformité est de permettre à chaque prospect, client ou abonné :
- de donner son consentement avant toute collecte d’informations le concernant,
- de savoir pourquoi ses données sont récoltées (la finalité du traitement),
- d’accéder à ses informations pour les modifier ou les supprimer,
- de récupérer ses données pour les transmettre à un service tiers (portabilité),
- d’être informé en cas de violation de ses données,
- de demander à désindexer certaines pages web pour respecter son droit à l’oubli.
Chaque entreprise — dont l’activité est exercée en Europe ou ailleurs — est soumise à cette réglementation dès qu’elle intervient dans la chaîne du traitement des données, stockage y compris.
La vidéo ci-dessous vulgarise le RGPD ou GDPR en anglais :
La mise en conformité de son entreprise
Une entreprise doit suivre les 6 étapes préconisées par la CNIL pour se mettre en conformité au règlement européen :
- Étape 1 : elle doit nommer son délégué à la protection des données, désigné par le terme DPO (Data Protection Officer) qui peut être un consultant externe ; celui-ci est le garant de la conformité de l’entreprise ;
- Étape 2 : pour estimer l’impact du RGPD, l’organisation est tenue de recenser les traitements de données dans un registre, d’y indiquer chaque responsable, avec comme mentions obligatoires la finalité pour chaque traitement, le temps pendant lequel ces données seront conservées, ainsi que le chemin parcouru par les données (flux et transfert) pour identifier la traçabilité des informations ;
- Étape 3 : au regard de la qualité du registre, il faut statuer sur les 1ères actions à mener pour respecter la vie privée des personnes, ne récolter uniquement que les données nécessaires à l’exécution de la finalité énoncée, veiller à un degré de sécurité très élevé ;
- Étape 4 : il faut également réaliser une analyse d’impact concernant la protection des données sur chaque traitement pour identifier les risques de sécurité et de non-conformité, afin de mieux cerner les éléments fragiles, à remplacer ou à améliorer ;
- Étape 5 : conscient de ses forces et faiblesses, l’entreprise doit ensuite enclencher 3 démarches qualitatives, à savoir adopter une démarche de Privacy by Design (confidentialité par conception, ou protection de la vie privée dès la conception), activer un plan de sensibilisation et de formation interne et réunir les moyens technologiques garantissant la confidentialité des données ;
- Étape 6 : l’entreprise responsable de ses traitements doit pouvoir fournir les preuves de sa conformité sur demande, telles que son registre, son analyse d’impact, les consentements apporter la preuve de sa conformité par la documentation, la traçabilité des données, etc.
Vérifier la conformité d’un logiciel CRM en 3 étapes
Qu’est-ce qu’un logiciel CRM conforme au RGPD ? Mon outil est-il en conformité ? Pour dresser un état des lieux, il est conseillé de faire appel à votre DPO : rompu aux technologies et aux règles du RGPD, il mettra tout en œuvre pour identifier les forces, faiblesses, et vous conseiller dans les processus à enclencher.
Étape n°1 : identifier les fonctionnalités de son CRM
Chaque entreprise utilise un logiciel CRM en fonction de sa stratégie de développement et de gestion de la relation client.
Avant de déterminer si votre outil est conforme, il faut tout d’abord recenser toutes les fonctionnalités pour identifier et cartographier les processus de collecte et de traitement de données.
Dressons les possibilités de gestion d’un CRM :
- la collecte d’informations via un formulaire (le CRM est connecté avec votre site web),
- l’IP de l’internaute est trackée pour observer son comportement,
- des cookies opèrent sur le site internet ou le blog de l’entreprise,
- l’envoi de campagne marketing par email ou SMS,
- les actions de prospection par téléphone, emailing automatisé, etc.
- la gestion des réseaux sociaux intégrée,
- la gestion des contacts en mode multicanal ou non,
- la connexion avec une base de données de prospection,
- etc.
Conseil : vérifier également les connecteurs et l’API pour vérifier à quelles applications est connecté votre CRM. Vous pouvez déceler des applications non-conformes…
Étape n°2 : déterminer les règles à appliquer
RGPD et prospection commerciale sont conciliables : il suffit de respecter les règles.
Vigilant, votre DPO s’applique minutieusement à contrôler la conformité des processus liés à chaque fonctionnalité :
- La phase de consentement préalable est-elle respectée avant une action de prospection BtoC ?
- Le principe de consentement est-il bien appliqué aux cookies ?
- La finalité du traitement est-elle clairement indiquée lors de la collecte d’informations ?
- Le contact dispose-t-il d’un accès à ses données pour exercer ses droits ?
- Les emailings contiennent-ils des liens de désinscription et d’accès aux données ?
- Quelle est la provenance du fichier de prospection ?
- Existe-t-il une délégation de traitement ou de stockage de données auprès d’un sous-traitant en dehors de l’Union européenne ?
- La traçabilité des données est-elle sécurisée ?
- Les procédures en cas de violations ou fuite de données sont-elles établies ?
- etc.
En cas de violation ou fuite de données, l’entreprise responsable des traitements doit informer la personne concernée dès que possible et avertir la CNIL dans les 72h.
Étape n°3 : corriger et sécuriser les processus non conformes
Suite à l’étape n°2, vous marquez une majorité de points positifs pour votre conformité.
Un DPO avisé conseille souvent les actions correctives suivantes suite à l’entrée en vigueur de la loi RGPD :
- la requalification des contacts en l’absence de consentement ; ceci passe par l’envoi d’un email personnalisé demandant l’autorisation du destinataire et nécessitant une action du destinataire pour donner son accord à toute communication ;
- la mise à jour des formulaires de collecte de données (voir image plus bas) ;
- la vérification du lieu de stockage des données et la mise en place de nouveaux contrats s’il y a lieu avec des sous-traitants conformes au règlement européen ;
- la mise en place d’un processus d’anonymisation pour sécuriser les données en assurant leur confidentialité et leur traçabilité.
Dans l’image ci-dessous, voici un exemple de correctif à appliquer pour intégrer les bonnes pratiques en matière de collecte de données :
Si votre CRM ne vous permet pas d’enclencher tous les processus de mise en conformité au RGPD, une seule solution s’impose : changer de logiciel.
Comparatif de 3 solutions CRM compliants
La diversité des outils CRM est telle que les entreprises l’utilisent à la fois comme un logiciel de gestion commerciale, de prospection, de gestion des contacts, ou encore comme un logiciel de marketing et communication. Aperçu des solutions compatibles au règlement européen.
Initiative CRM équipé de l’outil Portail RGPD
- donner son consentement ou le retirer,
- dispose d’un accès à ses informations pour les modifier,
- récupérer ses données personnelles,
- revendiquer son droit à l’oubli.
Chaque action est directement répercutée dans la base de données de votre CRM. Le logiciel CRM offre par ailleurs de nombreuses fonctionnalités permettant d’effectuer sa gestion commerciale, des reportings en temps réel, un suivi de la relation client optimal et des campagnes marketing performantes.
Sellsy : l’outil CRM, ERP et facturation entièrement compatible
Salesforce Sales Cloud : le CRM américain GDPR compliant
- le nouveau module Trailhead accompagne les entreprises pour assimiler les principes fondamentaux du RGPD et mettre en œuvre des actions concrètes ;
- la CNIL a vérifié les Binding Corporate Rules de Salesforce en 2016 et estime que l’éditeur offre un niveau de sécurité et de confidentialité qui permet de protéger les données personnelles transférées hors de l’Union européenne.
Par cet engagement, Salesforce renforce son pouvoir d’attractivité déjà fortement déployé par ses attraits : la gestion de campagnes marketing, des tableaux de bord personnalisables, la gestion des prix et des produits, la gestion des workflows et la personnalisation des processus, etc.
appvizer note également 2 alternatives conformes au RGPD :
- Blue note systems qui présente un CRM haut de gamme avec une forte capacité à s’adapter à différents métiers,
- Eudonet CRM, qui s’adresse à tout type d’entreprises et convient particulièrement aux acteurs de l’immobilier.
Des opportunités pour votre activité
64 % des Français pensent que les entreprises ne sont pas honnêtes dans l’utilisation de leurs données.
67 % des Français tiennent l’entreprise pour responsable en cas de pertes de leurs données personnelles, devant les hackers.
Sources : The Boston Consulting Groupk, RSA / YOUGOV, mars 2018
Il ne faut pas envisager la mise en conformité uniquement sous l’angle de la contrainte, mais comme un horizon d’opportunités à saisir.
Les chiffres le montrent : en respectant les règles du RGPD, vous montrez effectivement une démarche transparente et inspirez confiance, aussi bien auprès de vos clients que de vos partenaires :
74% des consommateurs français restent fidèles aux entreprises qui assurent la protection de leurs données.
78% des consommateurs partagent des informations avec des entreprises qui laissent le contrôle sur les préférences de contact.
Sources : Sitel 2018 / Boston Consulting Group 208 / Etude KPMG 2017 / Accenture Strategy 2017 / Consumer Privacy Trust & IPSOS, DMA Survey 2016 / Bizreport 2017
La performance de vos actions de marketing et de prospection augmente avec la conformité : les informations sont à jour, les consentements sont vérifiés, les données centralisées. Plus d’erreur !
Par ailleurs, en remettant votre projet CRM à plat, profitez-en pour rationaliser toutes les procédures et pour maîtriser toutes vos données. Mettez votre DSI et votre DPO à contribution : vous réduirez mathématiquement tous vos coûts grâce à une loi unique à respecter dans toute l’Europe !