Le règlement général sur la protection des données (RGPD) est entré en vigueur depuis le 25 mai 2018 dans les pays de l’Union européenne. Le RGPD soumet les entreprises à une obligation de transparence vis-à-vis de leurs contacts dont elles souhaitent collecter et stocker les données. Le règlement contraint également l’entreprise à garantir la sécurité de ces données. Désormais, une entreprise doit notifier à chaque individu, avec qui elle est en relation, son intention de recueillir les données de ce dernier.

Puis, elle lui explique les raisons réelles de l’opération et lui demande l’autorisation de procéder à ladite collecte. À partir des explications fournies par l’entreprise, le contact décide si oui ou non il donne à celle-ci l’autorisation de recueillir les informations qui le concernent. Parce qu’il est rempli de données personnelles, il est évident qu’un logiciel de CRM est un des outils à être concernés en premier par cette nouvelle mesure européenne. Une entreprise doit donc apporter des modifications à son CRM afin de l’adapter aux exigences du RGPD. Ce qui amène à la question suivante : quelles sont les obligations d’un CRM pour être conforme au RGPD ?

La quantité et la nature des renseignements demandés aux individus

La qualité d’un CRM dépend, en partie, des informations qu’elle contient. Mais attention : ce n’est pas la quantité de données qui importe, mais leurs intérêts. Autrement dit, il ne sert à rien d’avoir un flot de renseignements sur un prospect. Surtout si ces derniers ne peuvent être exploités commercialement, s’ils ne permettent pas de réaliser une vente à court ou à long terme. Le RGPD reprend cette vision et en fait deux des 7 principes de la protection des données. Il s’agit du principe de pertinence des données et du principe de proportionnalité.

Désormais, une entreprise ne peut demander à ses contacts que les informations réellement utiles à son activité, à ses objectifs et dont l’exploitation présente un intérêt pour le contact. Grâce à ce procédé, l’intimité du contact est protégée à double titre. Non seulement, il n’a pas à divulguer trop d’informations sur lui. Mais en plus, le volume global de données gérées par l’entreprise est restreint. Ce qui facilite leur sécurisation. Pour répondre à cette exigence, l’entreprise doit donc réfléchir rigoureusement sur les données dont il a effectivement besoin afin de définir les informations qu’il va demander aux contacts.

Dorénavant, un CRM ne peut contenir une liste interminable de renseignements sur chacun des contacts de l’entreprise.

Le fond et la forme des formulaires

Les renseignements figurant dans un CRM sont généralement obtenus grâce aux formulaires que remplissent les contacts. Il peut s’agir d’un formulaire en ligne ou sur papier. Il arrive également que les renseignements à faire figurer au formulaire soient donnés par téléphone. Ce formulaire ne peut être établi n’importe comment. En premier lieu, le contact doit pouvoir y lire les raisons pour lesquelles il est invité à fournir les informations qui lui sont demandées. Autrement dit, le formulaire doit indiquer, de manière claire, à quoi vont servir ces renseignements.

Par ailleurs, la nature de chaque information doit être précisée (par exemple : l’identité du contact, les coordonnées du contact…). En deuxième lieu, depuis le formulaire, le contact doit pouvoir accéder au texte de la politique de confidentialité de l’entreprise. Mais aussi des conditions générales de vente ou d’utilisation du service, ou de tous autres règlements appliqués par l’entreprise à ses clients. Si les informations sont communiquées par téléphone, il faudra que l’entreprise réfléchisse à un moyen pour faire parvenir les textes sus-cités au contact. Autre point, l’entreprise doit veiller à ce que la présentation du formulaire satisfasse le principe du «privacy by design». Enfin, le contact doit pouvoir se désinscrire ou se désabonner sans aucune difficulté.

L’impérieux consentement du contact

L’entreprise doit toujours recevoir le consentement, explicite et sans équivoque, du contact avant de recueillir les informations qui le concernent. Il n’y a pas qu’à travers les formulaires que les renseignements sont recueillis. L’entreprise peut également, par exemple, se servir des cookies pour avoir les données. Mais, quelle que soit la méthode utilisée pour remplir le CRM, l’entreprise doit pouvoir démontrer qu’il a préalablement obtenu l’autorisation de chacun de ses contacts pour récupérer les informations les concernant.

Par ailleurs, comme on l’évoque précédemment, au moment où l’entreprise demande au contact son consentement, elle lui expose impérativement pourquoi ses informations sont nécessaires et comment ses informations seront exploitées. Dès lors que le client donne à l’entreprise son accord, ses informations ne peuvent être utilisées en dehors des finalités dont il a pris connaissance.

Profitez d’1 heure de formation gratuite avec un expert en Stratégie Digitale

L’accès du contact à ses informations

Le contact doit avoir la possibilité d’exporter les données qu’il a communiquées à l’entreprise. L’export se fait suite à une demande formulée par le contact, lequel est invité à confirmer sa demande avant que l’export ne soit enclenché. En plus de pouvoir exporter ses informations depuis le CRM, le contact doit être en mesure d’appliquer son droit à la portabilité des données *.

Enfin, le contact est autorisé à modifier les renseignements le concernant qu’il a fournis à l’entreprise.

La suppression des informations

L’entreprise ne peut s’opposer à la suppression des informations d’un contact dans son CRM lorsque celui-ci l’exige. Comme pour l’export, le contact doit adresser une demande de suppression à l’entreprise laquelle doit, en retour, solliciter la confirmation du contact avant de procéder à la suppression définitive. Notez que la suppression doit être faite sur tous les dossiers du CRM. Ce qui suppose la mise en place d’un dispositif d’harmonisation du système.

Autrement, il peut arriver que les données concernant un individu soient effacées dans la base d’un service alors qu’ils continuent de figurer dans celle d’un autre. La demande de suppression peut prendre plusieurs formes : la désinscription à la newsletter, le désabonnement du site. Au passage, en vertu du droit à l’oubli dont jouissent les individus, les données ne peuvent être stockées indéfiniment dans le CRM. Ce dernier doit donc disposer d’un mécanisme de suppression automatique des données une fois la durée de conservation établie par l’entreprise soit écoulée. Cette durée est déterminée en fonction de la nécessité des données.

Les données personnelles sensibles

Le CRM ne doit pas contenir ces données définies à l’article 9 du RGPD. Ils concernent les domaines suivants :

  • la santé,
  • la race et l’ethnie,
  • les opinions politiques,
  • les convictions religieuses et les croyances philosophiques,
  • les renseignements biométriques,
  • les informations génétiques,
  • l’engagement syndical.

Conclusion

Les obligations d’un CRM sont en réalité la concrétisation des 7 principes de la protection des données énoncées par la Commission nationale de l’informatique et des libertés de France (CNIL) :

  • principe de finalité,
  • principe de proportionnalité,
  • principe de pertinence des données,
  • principe de durée limitée de conservation des données,
  • principe de sécurité et de confidentialité,
  • principe de transparence,
  • principe du respect du droit des personnes.

Le respect de ces obligations implique des modifications techniques de votre CRM.

Si vous désirez plus d’informations sur l’utilisation d’Un CRM dans le respect du RGPD, contactez-moi !

*Récupération des données par son propriétaire en vue de les communiquer à une autre entreprise

Je vous offre 1h deconseil en stratégie digitale pour votre entreprise.

Inscrivez-vous et je vous contacte pour prendre un rendez-vous à votre convenance.

Merci de votre demande, je vous contacte dès que possible, à bientôt !