CRM et RGPD

Par Bruno Saucourt le 28 août 2018 - Catégories : Conseils, Management Commercial, Processus Commerciaux

 Les 5 points de vigilance pour choisir un éditeur

Le RGPD (Règlement Général de la Protection des Données) est une loi européenne régissant la protection des données à caractère personnel.

Entrée en vigueur le 25 Mai 2018, tous les éditeurs de CRM sont tenus d’être en conformité avec cette loi. En France, la CNIL est l’organe de contrôle et le montant des amandes peut atteindre 4% du chiffre d’affaire ou 20 Millions d’Euros. Il ne faut donc pas prendre cette loi à la légère.

En qualité de sous-traitant (au sens RGPD), un éditeur est astreint à de nombreuses obligations comme :

Obligation de nommer un DPD

Manipulant ou ayant accès à un nombre important de données à caractère personnel, un éditeur de CRM est dans l’obligation de nommer un Délégué à la Protection des Données (DPD). Son rôle et ses responsabilités sont clairement mentionnés dans le règlement, et précisés dans les lignes directrices du Comité Européen de la Protection des Données.

Chaque personne doit donc pouvoir exercer ses droits (Accès, effacement, rectification, suppression…) en s’adressant directement au DPD dont les coordonnées doivent clairement être disponibles.

Obligation de protection des données

Une politique de confidentialité et une politique de sécurité doivent clairement être définies et accessibles aux clients des éditeurs CRM.

La politique de confidentialité porte à la fois sur les données des clients de l’éditeur et les données que les clients enregistrent concernant leurs clients et prospects.

La politique de sécurité doit décrire toutes les procédures de sécurité physique, de sécurité du réseau (Accès, chiffrement, sondes pour la prévention des intrusions, …) ainsi que les processus relatifs aux ressources humaines (employés de l’éditeur).

Appliquer les règles « By Design »

En qualité d’éditeur, tout doit être mis en œuvre pour qu’un client utilisant un CRM puisse avoir accès à des fonctions de sécurité intégrée à l’outil. Par exemple :

  • Le cryptage ou le chiffrement des champs : Chaque champ contenant des données à caractère personnel (comme le nom, le prénom, le numéro de téléphone, …) doit pouvoir être crypté par l’utilisateur.
  • L’accès à l’espace du client du CRM doit avoir, à minima, l’authentification à 2 facteurs, une restriction d’adresse IP, un accès sécurisé en TLS si le CRM est en SaaS…
  • L’absence de conservation de données bancaires (ou à minima dans un format crypté en cas de paiement par abonnement, stockées chez le prestataire de paiement)
  • L’effacement des données des prospects au bout de 3 ans en cas d’absence d’action de la part du prospect.
  • L’automatisation de l’obtention du consentement des personnes (et leur historisation) lorsqu’un contact/prospect est créé.

Contrôle de leurs sous-traitants

Tous les sous-traitants de l’éditeur (hébergeurs, prestataires) doivent avoir un contrat avec l’éditeur avec engagement de respecter le RGPD et les politiques de confidentialité et de sécurité de l’éditeur. En cas de défaillance, l’éditeur est responsable…

La liste des sous-traitants de l’éditeur ayant accès aux données à caractère personnel doit clairement être identifiée.

Gérer le transfert des données hors UE

Le transfert des données hors Union Européenne est un point sensible. Les données à caractère personnel de tous les ressortissants européens sont protégées par le RGPD.

  • Si l’éditeur est américain (USA), il doit être inscrit au « Privacy Shield » déclarant ainsi leur engagement à respecter le RGPD. C’est le département américain du commerce qui est en charge d’assurer la supervision de l’engagement des éditeurs. La liste des sociétés inscrites est disponible sur le site de l’administration américaine.
  • Si l’éditeur n’est pas européen ou n’est pas inscrit au « Privacy Shield », il n’existe aucun contrôle de protection légal des données à caractère personnel.

 

Tout ce qui a été évoqué n’est qu’un aperçu des obligations d ‘un éditeur de CRM pour être en conformité avec le RGPD.

En qualité de client utilisateur d’un CRM, c’est votre responsabilité qui est engagée si l’éditeur que vous avez choisi n’est pas lui-même en conformité avec le RGPD…

 

Liens utiles :

Le RGPD

Les lignes directrices du Comité Européen de la Protection des Données

Le Privacy Shield Framework