Variante : suffit-il de changer de CRM pour être en conformité au RGPD ?
Le RGPD vise simplement à apporter plus de transparence dans la collecte de données et de respect dans le traitement qui est fait des données personnelles.
Le CRM quant à lui doit être dès sa conception conforme au règlement. Dans la mesure où il centralise vos données, il vous incombe de rendre vos pratiques et procédures de collecte et traitement conformes. Si votre CRM ne vous permet pas d’appliquer vos procédures de mises en conformité, alors il faut clairement songer à en changer… Il est important de préciser une chose : en cas de contrôle, la responsabilité peut être partagée entre l’éditeur et le client en cas de non conformité de l’un et/ou de l’autre.
Que gère votre CRM ?
Dans la vie, il y a 2 sortes de CRM : Koban et les autres ! Je plaisante :p
Le fait est que sur le marché du CRM vous avez l’embarras du choix en terme de fonctionnalités. Car du simple outil de gestion du pipe aux fonctionnalités avancées comme la gestion de campagne télémarketing, tous n’ont pas la même finalité. De plus en plus, le CRM englobe des fonctionnalités marketing afin de gérer clients et prospects tout au long du cycle de vente puis du cycle de vie. On parle alors de gestion des contacts en mode multicanal. Acquisition, prospection, fidélisation… autant de notions qui sont aujourd’hui à la portée de tous avec des outils toujours plus complets (comme Koban !). Simple ou complexe, le CRM a vocation à gérer votre base de contacts. Dès lors que vous centralisez et alimentez régulièrement une base de contacts, il vous faut respecter de nouvelles règles avec l’arrivée du RGPD. En un sens, cela oblige à adopter une conduite plus saine dans la collecte de vos données et une attitude plus respectueuse dans l’utilisation desdites données.
A quoi doit il se conformer ?
Le concept de « la protection de la vie privée par conception » ou “privacy by design” existe depuis des années, mais avec le RGPD celui-ci fait désormais partie des obligations légales. À la base, la « confidentialité par conception » demandait à inclure la notion de protection des données dès la conception d’un système, plutôt qu’à être rajouté. Plus précisément – « Le contrôleur doit … mettre en œuvre des mesures techniques et organisationnelles appropriées … de manière efficace … afin d’être en conformité avec la réglementation et de protéger les droits des personnes concernées ». En clair, l’éditeur du CRM doit vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez. La “Privacy by Design” est un mécanisme de protection qui a pour but de prendre en compte des questions de protection des données personnelles dès la conception des produits. Cependant, il est important d’y appliquer un contrôle. Ce contrôle se matérialise par l’intervention d’un « délégué à la protection des données », qui sera en charge de veiller à la bonne application de la protection des données personnelles.
En clair, la seule raison qui puisse vous inciter à changer de CRM est de ne pouvoir y appliquer vos procédures de mise en conformité. Dans la mesure où il n’existe pas de “certification RGPD” pour un logiciel, il vous faut donc vérifier que chaque règle de protection des données personnelles est applicable par votre CRM.
Comment vérifier que votre CRM est conforme ?
Avant de demander à l’éditeur s’il est conforme, il vous faut établir votre registre de traitements et vos procédures.
- RGPD et site web : votre CRM est-il connecté à votre site web (formulaire de collecte, tracking IP et cookie) ?
Aller plus loin avec notre article : [RGPD] La check liste de mise en conformité du Marketing digital.
- RGPD et prospection : votre CRM est-il utilisé pour vos actions de prospection (emailing, sms, téléphone…) ?
Aller plus loin avec notre article : [RGPD] et Marketing : il est temps de vous mettre à l’Inbound !
- RGPD et API : votre CRM est-il intégré dans un système d’informations via API ou autres connecteurs ?
- RGPD et réseaux sociaux : votre CRM vous permet-il de suivre et gérer vos réseaux sociaux et la publication de contenus ? L’accès à votre CRM se fait-il via l’un de vos comptes sociaux ?
- RGPD et sous-traitance : les contacts de votre CRM sont-ils issus d’achat de fichier ou sont-ils traités par un prestataire externe pour la prospection ?
Aller plus loin avec notre article : [RGPD] Sécurité de la donnée : la check liste d’évaluation du risque
- RGPD et Cloud : votre CRM est-il en SAAS ? Où sont stockées vos données ?
Aller plus loin avec notre article : [RGPD] Où sont stockées vos données ? Le cloud pour les nuls.
Autant de questions à vous posez pour savoir comment et qui collecte les données, afin d’y appliquer les règles relatives à leur sécurité et leur protection. Posez-vous les bonnes questions pour savoir ensuite comment mettre en application dans votre CRM, et si vous devez en changer. Toute entreprise qui collecte des données personnelles doit se conformer au RGPD, l’éditeur et vous-même. Il ne suffit pas d’avoir un CRM compliant pour assurer votre propre conformité car le CRM n’est qu’un outil.