RGPD : comment vérifier la conformité de son CRM + 3 logiciels compatibles

La mise en conformité d’une solution CRM au RGPD — le Règlement Général sur la Protection des Données personnelles — concerne chaque entreprise : depuis mai 2018, l’entité est en effet responsable de la collecte et du traitement des informations de ses clients, de ses prospects au regard de la CNIL. Une mise à jour des outils s’impose donc : ils doivent garantir à vos contacts un total respect de leur vie privée, vous permettre de gérer les consentements et les accès personnalisés en toute sécurité. La même règle est applicable pour votre prospection commerciale ou votre campagne marketing : votre utilisation d’un logiciel de gestion de la relation client doit respecter la loi européenne.

Passons en revue les fonctionnalités et les solutions qui vous permettent d’honorer vos obligations :

Le RGPD (ou GDPR en anglais) responsabilise toutes les entreprises, les marques et les acteurs du Cloud, quel que soit leur activité. Voici quelques informations pour mieux comprendre comment cette loi s’applique au domaine informatique et à l’univers digital.

Le nouveau règlement européen renforce les droits de chaque personne résidant en Europe. Les entreprises sont désormais responsables des données collectées et de leurs traitements.

L’objectif de la mise en conformité est de permettre à chaque prospect, client ou abonné :

• de donner son consentement avant toute collecte d’informations le concernant,
• de savoir pourquoi ses données sont récoltées (la finalité du traitement),
• d’accéder à ses informations pour les modifier ou les supprimer,
• de récupérer ses données pour les transmettre à un service tiers (portabilité),
• d’être informé en cas de violation de ses données,
• de demander à désindexer certaines pages web pour respecter son droit à l’oubli.

La vidéo ci-dessous vulgarise le RGPD ou GDPR en anglais :

Une entreprise doit suivre les 6 étapes préconisées par la CNIL pour se mettre en conformité au règlement européen :

• Étape 1 : elle doit nommer son délégué à la protection des données, désigné par le terme DPO (Data Protection Officer) qui peut être un consultant externe ; celui-ci est le garant de la conformité de l’entreprise ;

• Étape 2 : pour estimer l’impact du RGPD, l’organisation est tenue de recenser les traitements de données dans un registre, d’y indiquer chaque responsable, avec comme mentions obligatoires la finalité pour chaque traitement, le temps pendant lequel ces données seront conservées, ainsi que le chemin parcouru par les données (flux et transfert) pour identifier la traçabilité des informations ;

• Étape 3 : au regard de la qualité du registre, il faut statuer sur les 1ères actions à mener pour respecter la vie privée des personnes, ne récolter uniquement que les données nécessaires à l’exécution de la finalité énoncée, veiller à un degré de sécurité très élevé ;

• Étape 4 : il faut également réaliser une analyse d’impact concernant la protection des données sur chaque traitement pour identifier les risques de sécurité et de non-conformité, afin de mieux cerner les éléments fragiles, à remplacer ou à améliorer ;

• Étape 5 : conscient de ses forces et faiblesses, l’entreprise doit ensuite enclencher 3 démarches qualitatives, à savoir adopter une démarche de Privacy by Design (confidentialité par conception, ou protection de la vie privée dès la conception), activer un plan de sensibilisation et de formation interne et réunir les moyens technologiques garantissant la confidentialité des données ;

• Étape 6 : l’entreprise responsable de ses traitements doit pouvoir fournir les preuves de sa conformité sur demande, telles que son registre, son analyse d’impact, les consentements apporter la preuve de sa conformité par la documentation, la traçabilité des données, etc.

Qu’est-ce qu’un logiciel CRM conforme au RGPD ? Mon outil est-il en conformité ? Pour dresser un état des lieux, il est conseillé de faire appel à votre DPO : rompu aux technologies et aux règles du RGPD, il mettra tout en œuvre pour identifier les forces, faiblesses, et vous conseiller dans les processus à enclencher.

Chaque entreprise utilise un logiciel CRM en fonction de sa stratégie de développement et de gestion de la relation client.

Avant de déterminer si votre outil est conforme, il faut tout d’abord recenser toutes les fonctionnalités pour identifier et cartographier les processus de collecte et de traitement de données.

Dressons les possibilités de gestion d’un CRM :

• la collecte d’informations via un formulaire (le CRM est connecté avec votre site web),
• l’IP de l’internaute est trackée pour observer son comportement,
• des cookies opèrent sur le site internet ou le blog de l’entreprise,
• l’envoi de campagne marketing par email ou SMS,
• les actions de prospection par téléphone, emailing automatisé, etc.
• la gestion des réseaux sociaux intégrée,
• la gestion des contacts en mode multicanal ou non,
• la connexion avec une base de données de prospection,
• etc.

Conseil : vérifier également les connecteurs et l’API pour vérifier à quelles applications est connecté votre CRM. Vous pouvez déceler des applications non-conformes…

RGPD et prospection commerciale sont conciliables : il suffit de respecter les règles.

Vigilant, votre DPO s’applique minutieusement à contrôler la conformité des processus liés à chaque fonctionnalité :

• La phase de consentement préalable est-elle respectée avant une action de prospection BtoC ?
• Le principe de consentement est-il bien appliqué aux cookies ?
• La finalité du traitement est-elle clairement indiquée lors de la collecte d’informations ?
• Le contact dispose-t-il d’un accès à ses données pour exercer ses droits ?
• Les emailings contiennent-ils des liens de désinscription et d’accès aux données ?
• Quelle est la provenance du fichier de prospection ?
• Existe-t-il une délégation de traitement ou de stockage de données auprès d’un sous-traitant en dehors de l’Union européenne ?
• La traçabilité des données est-elle sécurisée ?
• Les procédures en cas de violations ou fuite de données sont-elles établies ?
• etc.

Suite à l’étape n°2, vous marquez une majorité de points positifs pour votre conformité.

Un DPO avisé conseille souvent les actions correctives suivantes suite à l’entrée en vigueur de la loi RGPD :

• la requalification des contacts en l’absence de consentement ; ceci passe par l’envoi d’un email personnalisé demandant l’autorisation du destinataire et nécessitant une action du destinataire pour donner son accord à toute communication ;


• la mise à jour des formulaires de collecte de données (voir image plus bas) ;


• la vérification du lieu de stockage des données et la mise en place de nouveaux contrats s’il y a lieu avec des sous-traitants conformes au règlement européen ;


• la mise en place d’un processus d’anonymisation pour sécuriser les données en assurant leur confidentialité et leur traçabilité.

Dans l’image ci-dessous, voici un exemple de correctif à appliquer pour intégrer les bonnes pratiques en matière de collecte de données :

La diversité des outils CRM est telle que les entreprises l’utilisent à la fois comme un logiciel de gestion commerciale, de prospection, de gestion des contacts, ou encore comme un logiciel de marketing et communication. Aperçu des solutions compatibles au règlement européen.

• donner son consentement ou le retirer,
• dispose d’un accès à ses informations pour les modifier,
• récupérer ses données personnelles,
• revendiquer son droit à l’oubli.

Chaque action est directement répercutée dans la base de données de votre CRM. Le logiciel CRM offre par ailleurs de nombreuses fonctionnalités permettant d’effectuer sa gestion commerciale, des reportings en temps réel, un suivi de la relation client optimal et des campagnes marketing performantes.

• le nouveau module Trailhead accompagne les entreprises pour assimiler les principes fondamentaux du RGPD et mettre en œuvre des actions concrètes ;
• la CNIL a vérifié les Binding Corporate Rules de Salesforce en 2016 et estime que l’éditeur offre un niveau de sécurité et de confidentialité qui permet de protéger les données personnelles transférées hors de l’Union européenne.

Par cet engagement, Salesforce renforce son pouvoir d’attractivité déjà fortement déployé par ses attraits : la gestion de campagnes marketing, des tableaux de bord personnalisables, la gestion des prix et des produits, la gestion des workflows et la personnalisation des processus, etc.

appvizer note également 2 alternatives conformes au RGPD :

• Blue note systems qui présente un CRM haut de gamme avec une forte capacité à s’adapter à différents métiers,
• Eudonet CRM, qui s’adresse à tout type d’entreprises et convient particulièrement aux acteurs de l’immobilier.

Sources : The Boston Consulting Groupk, RSA / YOUGOV, mars 2018

Il ne faut pas envisager la mise en conformité uniquement sous l’angle de la contrainte, mais comme un horizon d’opportunités à saisir.

Les chiffres le montrent : en respectant les règles du RGPD, vous montrez effectivement une démarche transparente et inspirez confiance, aussi bien auprès de vos clients que de vos partenaires :

Sources : Sitel 2018 / Boston Consulting Group 208 / Etude KPMG 2017 / Accenture Strategy 2017 / Consumer Privacy Trust & IPSOS, DMA Survey 2016 / Bizreport 2017

La performance de vos actions de marketing et de prospection augmente avec la conformité : les informations sont à jour, les consentements sont vérifiés, les données centralisées. Plus d’erreur !

Par ailleurs, en remettant votre projet CRM à plat, profitez-en pour rationaliser toutes les procédures et pour maîtriser toutes vos données. Mettez votre DSI et votre DPO à contribution : vous réduirez mathématiquement tous vos coûts grâce à une loi unique à respecter dans toute l’Europe !