Logiciel CRM

Les Clés pour Être en Conformité Avec le RGPD

7 minutes de lecture · Listen

Le RGPD fait peur ! Et personne ne sait vraiment comment s’y prendre. Ainsi, seul un tiers des entreprises y est conforme. Et pourtant, l’entrée en vigueur du Règlement Général sur la Protection des Données approche. efficy vous livre les clés pratiques pour vous mettre en conformité avec le RGPD.

C’est un des sujets qui font l’actualité en ce moment. La littérature sur le sujet foisonne et il est souvent difficile de s’y retrouver. Bien souvent, le discours est trop technique, trop juridique… Parce que la donnée occupe une part importante dans le capital de l’entreprise, nous avons voulu, comme à notre habitude, vous rendre la vie simple. Nous vous livrons aujourd’hui un livre blanc qui vous aidera à faire le point.

Les grands principes du RGPD

La gouvernance des données

Le RGPD a un impact global sur l’entreprise, il induit pour chaque organisation une refonte interne des processus de gestion de l’information et de la donnée à chaque niveau de l’activité.  

La démarche de mise en conformité doit ainsi être initiée avant tout par la direction de l’entreprise, qui a pour rôle d'entraîner dans sa démarche l’ensemble des services autour d’une nouvelle culture d’entreprise respectueuse des principes de protection de la donnée. 

Veille technologique et juridique, sensibilisation du personnel, anticipation de la violation des données … sont autant d’actions qui peuvent être mises en œuvre pour assurer un niveau de protection élevé et constant au sein de l’entreprise !  

Le RGPD est une opportunité décisive pour chaque organisation de remettre de l’ordre et de la transversalité dans les processus internes de traitement de l’information.

Les impacts

Côté individu, le RGPD renforce les droits de la personne. Ainsi, tout citoyen européen qui le réclame peut désormais bénéficier de : une meilleure lisibilité́ sur ce qui est fait de ses données personnelles, la possibilité d’accéder et de rectifier ses données personnelles, la portabilité de ses données personnelles, du droit à l’oubli.  

Côté entreprise, le RGPD implique un plus haut niveau de responsabilité et de transparence. Chaque structure devra donc préparer sa conformité en 6 étapes :

  • Désigner un DPO, ,
  • Cartographier les traitements de données personnelles,
  • Prioriser les actions,
  • Gérer les risques,
  • Organiser les processus internes,
  • Documenter la conformité.

La sécurité du logiciel de CRM, un enjeu au cœur du RGPD

Parce que chez efficy, nous savons quelle attention porter à vos données client (et donc aux données personnelles de vos clients) pour faire de votre solution de relation client le meilleur CRM, nous consacrons un chapitre de ce livre blanc sur les aspects sécurité de l’application. 

Hébergement des données, droits d’accès, authentification… aucun sujet n’est laissé au hasard et nous vous donnons quelques pistes de réflexion pour améliorer cet aspect de votre relation client.

La bonne gestion des données personnelles, un essentiel pour fidéliser les clients

Dans votre démarche de relation client (au-delà du logiciel CRM), il y a quelques bonnes pratiques à adopter également :

  • Privilégier la qualité des données à la quantité,
  • Recueillir le consentement préalable du client et l’historiser,
  • Encadrer l’utilisation des formulaires web (préoccupation CRM pour vos équipes marketing),
  • Faciliter la gestion des données personnelles dans le temps.


La protection des données personnelles au-delà du logiciel CRM

Au-delà de la solution CRM, la mise en conformité avec le RGPD impose de revoir son organisation interne et de prendre quelques précautions qui pourront vous éviter une sanction importante. Pensez donc à vos sous-traitants et à votre dossier de conformité…  

En conclusion, nous pourrions dire que le RGPD ne doit pas être vécu comme une contrainte mais comme une opportunité qui vous est donnée pour mettre à plat vos processus de relation client. Profitez-en ! Et si vous n’êtes toujours pas convaincu, sachez que 37% des clients français estiment que la façon dont une entreprise sécurise leurs données personnelles joue un rôle déterminant dans leur fidélité. Maintenant, à vous de jouer !

Les 6 étapes préconisées par la CNIL

1. Choisir un DPO

Il apparaît comme pertinent d’accompagner ses équipes et de désigner un “pilote” de la gouvernance des données personnelles de votre entreprise. Il doit vérifier la conformité de son organisation avec le RGPD par l’identification des actions de traitement réalisées, l’analyse et la vérification de leur conformité. Véritable conseiller de votre mise en conformité ses recommandations vous guideront dans la jungle du RGPD !  

La nomination d’un DPO, n’est pas obligatoire pour toutes les entreprises mais elle est fortement conseillée. Etant un poste inédit, il peut être difficile de trouver un interlocuteur qualifié sur le marché de l’emploi. Recrutement en interne ou externalisation? Fonction à mi-temps ou à plein temps ? Embauche ou mutualisation ? Autant de questions qu’il va falloir vous poser !  

Malgré son rôle central dans la stratégie de mise en conformité d’une entreprise, le DPO n’est cependant pas légalement responsable de la conformité de son entreprise. C’est elle seule qui prend la décision d’appliquer ou non ses recommandations !

2. Cartographiez vos données

Avant d’engager une refonte de ses processus, une étape clé va être de recenser tous les traitements de données actuels dans l’entreprise. Le but : dresser un registre des traitements pour être en mesure d’identifier et de quantifier l’impact du RGPD.  

L'article 4 du règlement définit un traitement comme "toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction".  

Le registre doit englober les différents traitements de données personnelles, les différentes catégories de données traitées, les objectifs de chaque opération de traitement, les différents acteurs qui traitent ces données et les différents flux d’origine et destination des données. Vous serez ainsi en mesure d’identifier les zones de risques et de mettre en place des actions correctives.

3. Élaborez votre plan d’action

Vous possédez maintenant un état des lieux complet sur lequel vous appuyer pour développer votre plan d’action ! Voici quelques étapes essentielles à votre transition vers la conformité :

Nettoyez votre base

Assurez-vous que les données collectées et traitées sont strictement nécessaires à la poursuite des objectifs définis

Vérifier l'adéquation de vos traitements avec les grands principes RGPD

On entre ici dans une introduction concrète du concept de "Privacy by design"! Mettez en place des mesures proactives et préventives dans la gestion de vos données personnelles de même qu'une protection automatique de ces dites données. Les processus mis en place doivent permettre à chaque personne concernée d'exercer ses droits (accès, rectification, portabilité...)

Révisez toutes vos mentions d'informations pour être en adéquation avec le règlement

CGV, contrats... On justifie chaque collecte en s'appuyant sur une base juridique solide ! (consentement, contrat ...)

Engagez la responsabilité de vos sous-traitants

Vérifiez la mise en conformité de vos sous-traitants et formalisez des clauses contractuelles définissant les obligations de ces derniers en termes de sécurité, confidentialité et protection des données personnelles traitées

4. Evaluez les risques

Identifier un traitement à risque ne suffit plus, il vous faudra réaliser pour chacun de ces traitements suspects une analyse d’impact de la protection des données (DPIA - Data Protection Impact Assessment). Cette étude visant à inciter les organismes à construire un processus plus respectueux de la vie privée repose sur deux grands piliers :

  • L’évaluation du système de traitement actuel et sa mise en comparaison avec les grands principes et droits cités dans le RGPD (finalités, durées de conservation, droits des personnes…)
  • L’étude de risque sur la sécurité des données (abus, violations, disparition des données…)

5. Repensez vos processus internes

Le déploiement de votre plan d’action passe avant tout par la refonte de vos processus actuels. Votre obligation : garantir un haut niveau de protection des données personnelles et ce en permanence.  

Application des principes de “Privacy by default” et “Privacy by design” à chaque niveau de votre activité, sensibilisation de l’ensemble de vos collaborateurs pour les impliquer dans une démarche proactive et responsable de traitement de la donnée, traitement des réclamations et des demandes des personnes concernées, ou encore anticipation des violations de données sont des sujets qui vont vous demander de repenser globalement vos processus de traitement internes et externes des données personnelles.  

Privilégiez des outils “RGPD compliant” pour mettre en oeuvre votre stratégie, anticiper et automatiser au maximum chaque scénario.

6. Documentez votre conformité

Nous l’avons dit le principe d’accountability est un des grands changements induits par le RGPD. Être en mesure de fournir des preuves de sa conformité nécessite de tenir à jour une documentation complète sur chaque action mise en place.  

Quels éléments archiver ?

  • Le registre des traitements
  • Les analyses d’impacts sur la protection des données (PIA)
  • L’encadrement des transferts de données hors de l’UE
  • Les mentions d’information
  • Les modèles de recueil de consentement
  • Les procédures mise en place pour l’exercice des droits des individus
  • Les contrats avec ses sous-traitants
  • Les procédures en cas de violation de données
  • Les preuves de consentement 
     

En savoir plus:  

Démantèlement du RGPD à l'ère du digital