Un guide RGPD pour le CRM ! Le Règlement Général de Protection des Données ou RGPD entre en vigueur le 25 mai 2018. Ce nouveau règlement européen vise à renforcer et à unifier la protection des données pour les individus au sein de l’Union. Toute organisation opérant sur le territoire de l’Union Européenne doit désormais s’y conformer. La vôtre est certainement concernée… si vous lisez cet article. Vous utilisez un logiciel de Gestion de Client (CRM) ou, du moins, vous réfléchissez à en acquérir un et vous vous questionnez sur l’impact de l’application du RGPD sur vos données clients. Le présent article est volontairement orienté vers votre centre d’intérêt !

Ainsi, essayons de comprendre le RGPD, identifions les points d’attention cruciaux, puis dégageons des actions concrètes à mettre en œuvre.

Comprendre le RGPD

Que dit la CNIL ?

Le premier bon réflexe est de se tourner vers la Commission Nationale de l’Informatique et des Libertés (CNIL) car elle est la référence dans le domaine. La CNIL synthétise le travail de mise en conformité avec le RGPD avec un processus en six étapes précises et complètes que nous relayons ici . La compréhension de ce processus permet de saisir l’essence de la démarche. Toutefois, toutes les organisation, à l’image d’une PME, peut n’avoir ni le temps ni les ressources à consacrer à ces étapes. Fort heureusement, les données personnelles que votre organisation détient sont ou seront centralisées dans votre CRM et c’est votre principal atout pour simplifier et sécuriser votre mise en conformité !

Pour aller à l’essentiel

Avec le RGPD, le Législateur veux assurer le respect du droit des personnes sur le territoire de l’Union. Il s’agit notamment :

  • du droit à l’information (articles 13 et 14)
  • assurer le droit d’accès (article 15)
  • assurer le droit de rectification (article 16)
  • garantir le droit d’effacement ou « droit à l’oubli » (article 17)
  • du droit à la limitation du traitement (article 18)
  • de l’obligation de notification du responsable (article 19)
  • du droit à la portabilité des données (article 20)
  • du droit d’opposition (article 21)
  • du droit de ne pas être soumis à une décision individuelle automatisée (article 22)
  • et du droit à la communication d’une violation de données à caractère personnel (article 34)

Source : Extrait du JOUE du 23/05/2018

Des points d’attention

Nul n’est sensé ignorer la loi et les décideurs ont le devoir de se poser et évaluer la position de leur organisation, puis de réfléchir aux actions à mettre en place. Vous êtes sûrement dans cette situation. Vous apprécierez donc les deux points d’attention suivant, dont l’objet est de vous aider à appréhender comment le droit des personnes est respecté dans votre organisation au sens du RGPD.

Point d’attention 1 : Qualité et quantité de données

Il s’agit de respecter les principes de finalité et de proportionnalité. Ci-dessous trois questions à se poser :

1. De quelles données personnelles disposons-nous ?
Les données les plus courantes sont les noms et prénoms, les adresses coordonnées téléphoniques et courriels, mais cela peut aussi s’étendre sur les dates de naissance, la composition de la famille, les professions, etc. Toutes ces données à caractère personnel sont à identifier.

2. Pour quelles fins avons-nous récolté ces données ?
La plupart des informations sont des données de contact, de facturation, de préférences personnelles. D’autres sont collectées afin de constituer des dossiers spécifiques : paiement, prêt, crédit, etc. et peuvent contenir des informations sensibles

3. Avons-nous réellement/encore besoin de toutes ces données ?
Le RGPD demande de veiller à ce que les données en possession des organisations restent adéquates, pertinentes et non excessive. Chaque donnée est-elle utile vis-à-vis de la finalité ? Et lorsque la finalité est atteinte, qu’advient-il des données ?

Point d’attention 2 : Traitement des données

Il s’agit de respecter les principes de transparence, de confidentialité, de sécurité et du droit à l’oubli. Les cinq questions suivantes aident appréhender ce point :

1. Avons-nous le consentement de tous les individus dont nous détenons les informations personnelles ?

2. Le droit d’accès et de modification aux données personnelles est-il bien garanti ? Nos processus permettent-ils aux intéressés de l’exercer ?

3. Comment la confidentialité des données est-elle assurée au sein de notre organisation? Qui ont accès aux données ? Ces accès sont-ils justifiés ? Les ayants-droit ont-ils consenti à cela ?

4. La sécurité des données est-elle assurée ? Avons nous les mesures nécessaires pour que les données ne tombent pas entre des mains malveillantes ? Cette question est d’autant plus importante si les systèmes sont accessibles ou transitent via Internet.

5. Qu’en est-il de la suppression des données obsolètes ? Nos processus permettent-ils de réellement les supprimer une fois la finalité atteinte, le cas échéant à la demande de l’intéressé ?

Des actions concrètes

Comprendre le RGPD et répondre aux questions ci-dessus permet d’avoir une idée précise de la situation de votre organisation vis-à-vis de la nouvelle règlementation. Maintenant, il s’agit de poser des jalons et mettre des actions en place.

Action 1 : Recueillir le consentement 

La détention et l’exploitation des données personnelles nécessitent absolument le consentement explicite des intéressés. Si ce consentement n’est pas prouvé votre organisation doit organiser sa collecte, par exemple via une campagne de communication. En absence de consentement, les données doivent être supprimées.

Action 2 : Minimiser les données

En vertu du principe de finalité, la détention des données doit avoir un objectif. Il s’agit donc pour votre organisation de :

  • identifier la finalité de chaque donnée,
  • retenir uniquement les données utiles aux diverses finalités,
  • définir un délai de péremption en fonction des finalités,
  • s’assurer que les données soient exacts ou supprimées le cas échéant,
  • et enfin supprimer les données non nécessaires.

Minimiser les données présente au moins deux avantages : (1) une mise à jour facilitée et (2) la limitation du préjudice en cas de violation.

Action 3 : Le droit d’accès et de modification

Votre organisation a besoin d’un procédé simple de mise à disposition des informations personnelles. Un CRM moderne permet d’intégrer directement un tel procédé dans ses fonctionnalités. A partir d’une donnée discriminante telles que l’e-mail, le numéro de téléphone, ou la combinaison « nom + élément d’adresse », le procédé utilisera une requête afin de récupérer les informations personnelles du demandeur et éventuellement les modifier ou les supprimer.

Action 4 : Confidentialité et sécurité des données :

Protéger les données à la fois (1) au sein même de votre organisation et (2) face aux attaques extérieures doit être une priorité. Cela se traduit par :

  • la protection des comptes d’accès à votre CRM,
  • le cloisonnement des données et des fonctionnalités,
  • l’adhésion des utilisateurs à une charte de responsabilisation, etc.
  • la protection vos infrastructures et applications contre l’intrusion et le piratage,
  • le chiffrement (cryptage) vos données afin de les rendre inutilisables par des personnes malveillantes.

Action 5 : La suppression et droit à l’oubli :

Supprimer les données peut représenter un vrai défi dans un système d’information. Vous devez identifier les contraintes techniques et métiers, puis appliquer la stratégie d’effacement adéquat. En fonction de votre activité, les contraintes les plus courantes sont les suivantes :

  • La loi ou la pratique exige un délai de conservation obligatoire, surtout lorsque les données contituent des preuves en soi. C’est le cas en gestion de la paie, en comptabilité, ou encore en facturation.
  • Votre organisation veut conserver les données pour des fins d’analyse et de statistiques. L’historique de la relation client (contacts, achats, devis, etc.) est une véritable mine d’or dans ce sens.

Plusieurs stratégies complémentaires incluant effacement partiel, total, anonymisation et archivage peuvent être appliquées selon la situation.

Et la suite …

Vous avez compris, disposer d’un CRM présente une belle opportunité pour faciliter la conformité de votre organisation au nouveau RGPD. Ce Guide RGPD pour le CRM montre comment y arriver en observant deux points d’attention, en entreprenant cinq actions concrètes et en exploitant les six critères RGPD de votre CRM. Avez-vous besoin de plus de détails ? Les consultants Et ceterum se feront un plaisir de vous aider dans vos réflexions et/ou dans votre choix d’une solution CRM. Contactez-nous !

Voulez-vous aller plus loin ? Découvrez dès maintenant les nouveaux critères RGPD du CRM.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *