HQ Blog CK2 B4 Impact GDPR Header

Le 25 mai 2018 est le jour où le règlement général sur la protection des données entrera en vigueur. Le RGPD permet un meilleur contrôle des données à caractère personnel, et assure une sécurité renforcée des données à travers l'Europe. Lisez la suite pour en savoir plus sur les changements les plus importants à venir concernant la gestion de vos données clients.

Selon une étude de GDMA et Winterberry Group, 92 % de tous les répondants stockent des informations sur leurs clients, leurs prospects et d'autres contacts. Généralement, ce type d'informations contient un grand nombre de données à caractère personnel : noms, adresses (e-mail), intérêts personnels, empreintes numériques et plus encore.

Ces données sont souvent stockées dans un système de CRM. Mais avec le RGPD, la stratégie de gestion de vos données clients va devoir changer.

Exemple des conséquences qu'aura le RGPD sur la gestion de vos données clients

RGDP - gestion données clients

Qu'est-ce que le RGPD veut dire pour vous en tant que petite ou moyenne entreprise ? Il est difficile de trouver une explication compréhensible ou applicable à votre entreprise. C'est pourquoi nous allons vous expliquer certains des principaux changements liés au RGPD, en prenant comme exemple les cas où vous envoyez un e-mail promotionnel ou commercial pour promouvoir vos services.

Le RGPD distingue deux types d'e-mails :

  • Sans visée commerciale : e-mails de vœux pour les fêtes ou la nouvelle année, informations concernant le RGPD, etc.
  • À visée commerciale ou à des fins de prospection : comprend les informations sur les prix, les réductions, les offres promotionnelles, etc.

{{cta('f73394ae-7cc0-4cdc-a0ab-ebe4a1e31258')}}

Obtenez un consentement explicite

Vous devez obtenir un consentement pour pouvoir stocker les données à caractère personnel des gens, et le documenter clairement. Obtenez-le d'une manière qui ne laisse aucune place à l'interprétation, au moyen d'une déclaration écrite ou orale. Si votre société, par exemple, mène ses activités principalement par téléphone, vous devrez enregistrer les appels au cours desquels le consentement vous est donné, et les relier à votre CRM pour pouvoir retrouver ces enregistrements facilement.

Exemple : Vous devez explicitement demander à vos contacts (à l'exception de vos clients) s'ils veulent continuer à recevoir vos e-mails promotionnels. Cela signifie que vous ne pouvez plus utiliser de consentement passif aux e-mails, par exemple avec une case pré-cochée qui vous permet de recueillir facilement l'autorisation de votre contact. À la place, réfléchissez à une nouvelle façon de demander aux gens leur autorisation expresse.

Par exemple, offrez-leur un choix personnalisé de s'inscrire à différents types de contenus (des modes d'emploi utiles sur votre produit, des mises à jour sur votre service ou des offres spéciales) et via différentes méthodes de communication (par e-mail, par téléphone ou par courrier).

Comme pour les clients, vous pouvez partir du principe qu'ils ont un intérêt légitime à recevoir du contenu promotionnel, donc vous n'avez pas besoin de leur consentement explicite dans ce cas. Toutefois, vous devez leur fournir un moyen facile et transparent de se désinscrire.

La limitation de la finalité

Vous ne pouvez recueillir des données à caractère personnel que pour des finalités déterminées, explicites et légitimes. Indiquez clairement comment vous allez utiliser les données à caractère personnel de vos contacts dans votre déclaration de protection de la vie privée - vous êtes uniquement autorisé à utiliser ces données dans le cadre de ces finalités. Par exemple, un fabricant d'alcool a des raisons légitimes de vous demander votre date de naissance puisqu'il ne peut pas commercialiser son produit à une personne en dessous d'un certain âge. À l'inverse, une entreprise de commerce électronique n'a pas le droit de demander ces données pour, par exemple, envoyer aux gens un e-mail pour leur anniversaire.

La base juridique d'un traitement de données à caractère personnel

Vous avez besoin d'une base juridique raisonnable pour traiter des données à caractère personnel, ce qui signifie que vous ne pouvez pas conserver des données inutiles ou les utiliser à votre convenance. Vous pouvez seulement stocker les données pendant le délai nécessaire à l'accomplissement de la finalité indiquée.

Exemple : Vous ne pouvez plus envoyer d'e-mails à des personnes qui s'étaient abonné à vos e-mails promotionnels il y a des années. Lorsqu'elles s'abonnent pour la première fois, vous devez leur indiquer combien de temps vous allez conserver leurs données, et leur demander de reconfirmer leur abonnement de façon régulière.

Le droit à l'oubli

RGDP - gestion données clients- le droit à l'oubli

Vous avez besoin de mettre en place un système pour assurer la suppression automatique des données à caractère personnel lorsque le délai légal de conservation des données expire. Qui plus est, ce système devrait vous permettre de supprimer des données clients à la demande. Les personnes concernées, telles que vos contacts ou vos clients, ont le droit de vous contacter à tout moment pour se renseigner sur leurs données et vous demander de les supprimer. Vous devrez leur fournir une copie des données à caractère personnel que vous traitez pour leur compte. Si les personnes concernées ont fait leur demande par voie électronique, vous pouvez leur fournir les informations par e-mail, sauf demande contraire de leur part. Puis vous devrez « oublier » leurs informations et supprimer définitivement leurs données de tous vos dossiers.

Ensuite, vous devrez rechercher dans vos données (y compris dans d'anciens systèmes ou des sauvegardes), afin de déterminer si vous avez les données cherchées. Si le propriétaire des données vous en fait la demande, vous devrez alors supprimer les données et confirmer que leur suppression est terminée.

Exemple : Quelqu'un veut-il se désabonner de votre liste de diffusion ? Vous devez proposer cette possibilité d'une manière simple et transparente, par exemple en ajoutant une note dans le bas de votre e-mail qui offre une option de désabonnement claire.

Le droit à la portabilité des données

En plus du droit à l'oubli, les personnes concernées ont le droit de transmettre leurs données à caractère personnel à un autre responsable du traitement des données. Par exemple, si vous changez d'opérateur télécom, une personne concernée peut demander que ses données à caractère personnel soient transférées depuis un opérateur vers un autre.

Quel impact le RGPD aura-t-il sur votre CRM ?

Vous ne pouvez pas ignorer le RGPD si vous utilisez une base de données pour stocker et traiter les informations de vos contacts, car elles contiennent des données à caractère personnel. Heureusement, vous pouvez atteindre les mêmes objectifs en combinant le RGPD et le CRM : développer une confiance et une fidélité accrue de vos contacts en traitant leurs données à caractère personnel de manière professionnelle.

Recherchez un fournisseur de CRM qui respecte le RGPD

En tant qu'utilisateur, il est important que vous choisissiez un service qui soit bien positionné pour être en parfaite conformité avec le RGPD. Lorsque vous recherchez le fournisseur adapté, notez que les actions suivantes peuvent indiquer qu'il s'est soigneusement préparé :

  • Le service offre des ressources (par ex. des articles de blog, des checklists, des e-mails, des webinaires, des e-books) pour aider ses clients à se préparer.
  • Vous ressentez un engagement de sa part en matière de sécurité, et spécifiquement autour du RGPD. Le fournisseur effectue des recherches sur les aspects de ses produits et services qui sont touchés par le RGPD, développe une stratégie pour traiter ces aspects, et procède aux changements nécessaires. Par exemple, l'entreprise s'assure que le personnel qui a accès et traite des données à caractère personnel a été formé au traitement de ces données, et est tenu de maintenir leur confidentialité et leur sécurité.
  • Leur outil est (en train d'être) adapté sur le principe de la « protection de la vie privée dès la conception ». Par définition, cela signifie que le logiciel de CRM est conforme au RGPD d'un point de vue pratique. Par exemple, le logiciel devrait vous permettre de partager, modifier et supprimer facilement des données à caractère personnel.
  • L'entreprise a nommé un délégué à la protection des données.
  • Elle a modifié son contrat de protection des données, et communique sur sa conformité.

Comment Teamleader CRM se prépare aux impacts du RGPD ?

Teamleader sera pleinement conforme au RGPD d'ici au 25 mai 2018. Nos applications web, nos communications, nos serveurs de bases de données et toutes les données de nos clients sont stockés et situés dans des serveurs européens, qui se trouvent en Irlande et sont exploités par Amazon Web Services Inc. En conséquence, le RGPD s'applique à toutes ces données. Afin d'être en conformité avec les normes et les obligations exposées dans le RGPD, Teamleader a déjà signé le « AWS Data Processing Addendum » (Avenant de traitement des données de AWS). La sécurité est assurée, par exemple, par un cryptage SSL (en résumé, une méthode pour convertir les données en un code secret).

Des efforts de préparation sont également effectués en diffusant des communications externes et internes, en organisant des formations à l'échelle de toute l'entreprise et des audits de sécurité technique, et en demandant l'assistance de conseillers juridiques externes.

En plus de cela, le fait que Teamleader a adapté ses documents montre aussi que nous serons prêts : une procédure interne de gestion des incidents, le TOM (mesures organisationnelles et techniques pour la sécurité des données), la déclaration de protection de la vie privée et le contrat de traitement de données montrent que Teamleader est bien préparé pour assurer sa conformité au RGPD.

Quelle sera votre responsabilité ?

Quand des utilisateurs saisissent des données à caractère personnel dans leur logiciel de CRM, le fournisseur du logiciel agit en tant que responsable du traitement des données. Toutefois, dans ce cas l'utilisateur est un sous-traitant de données, et doit donc agir de façon conforme à la protection de la vie privée. Cela veut dire que vous avez toujours certaines obligations à remplir, comme par exemple :

  • Évaluer votre organisation, étudier votre processus de recueil des données et revoir vos efforts existants en matière de protection de la vie privée
  • Établir des processus et des contrôles pour assurer la protection de la vie privée
  • Documenter votre conformité

En plus de cela, assurez-vous que la stratégie de gestion de vos données clients répond à toutes les normes ci-dessus, et prévoit bien d'obtenir un consentement explicite, d'indiquer la finalité et la base juridique du traitement des données, et d'avoir un système en place pour supprimer ou transférer des données à la demande.

Cela ne représente que quelques mesures parmi d'autres que vous devriez prendre pour protéger la vie privée de vos clients. En plus de vos propres efforts, vous devriez utiliser un logiciel de CRM conforme pour recueillir et gérer des données à caractère personnel en toute sécurité, pour être certain que vos données clients sont gérées conformément au nouveau cadre juridique.

{{cta('d3e3abc6-7fa4-4e9e-beb4-1c7308370e25')}}