Mettre votre CRM en conformité avec le RGPD,
on vous explique tout !

By 24 mai 2018CRM

Le RGPD, c’est un gage de sécurité et de sérénité pour nos clients. Une nouvelle occasion pour les entreprises d’être transparentes.

Hugues Bergamini, consultant chez eFrontech

Le Règlement Général sur la Protection des Données (RGPD), entré en rigueur sur tout le territoire de l’Union Européenne le 25 mai, responsabilise les entreprises et renforce les droits des utilisateurs. Celles-ci sont désormais garantes du respect de la vie privée et de la bonne utilisation de leurs données. Il oblige les entreprises à obtenir le consentement explicite de toutes les personnes sur lesquelles elles recueillent des données personnelles. Toute entreprise doit être capable de faciliter l’accès aux données personnelles de ses clients voir de les supprimer si c’est demandé.

Les principales dispositions du RGPD

  • Droit d’accès : Les utilisateurs peuvent demander un accès à leurs données personnelles et exiger une réponse quant à l’usage que l’entreprise en fait.
  • Droit à l’oubli : Une personne pourra à tout moment retirer son consentement à l’utilisation de ses données personnelles par une entreprise.
  • Droit à la portabilité des données : Les utilisateurs auront le droit de récupérer leurs données à des fins de réutilisation par un autre fournisseur de service.
  • Droit à la notification : En cas de fuite de données concernant un utilisateur, celui-ci a le droit d’être informé dans un délai de 72h suivant la découverte de la fuite.
  • Droit d’information : Les utilisateurs doivent être informés de toute collecte de leurs données personnelles en donnant (ou pas) leur consentement explicite, et ont le droit de demander ce pourquoi leurs données sont utilisées.

Les pratiques CRM doivent donc prendre en compte ces nouveaux changements. Si vous respectiez déjà les recommandations de la CNIL (autorité de contrôle, qui veille au respect et aux sanctions de ce règlement), vous n’aurez pas de soucis. Si vous n’étiez pas conformes, cela peut être long à mettre en place.

Quelles sont les règles à suivre et les aménagements à faire en B2B,
afin d’adapter correctement vos solutions CRM et de Marketing Automation ?

Pas de panique, eFrontech vous explique tout !

COLLECTE DES DONNÉES CLIENTS

Par quels moyens demander son accord à un client afin de stocker ses données ? Comment gérer la source de l’opt-in ?

Dans le cadre du RGPD il faut obligatoirement demander son accord au client pour stocker ses données. Cela passe par l’obtention des Opt-In (il en faut 2 pour rappel, en B2C). En B2B, un seul opt-in est suffisant. Il faut alors stocker le 1er Opt-In, sa provenance (source) et la date d’obtention dans le CRM. Hugues Bergamini, consultant chez eFrontech nous explique : « La source de l’Opt-In est le plus compliqué à gérer. L’obtention via un formulaire, un lien dans un email, est assez simple, mais pour ceux que l’on pourrait obtenir lors d’un événement par exemple un salon, sont plus compliqués. En effet lors d’un salon, vous allez récolter des cartes de visite sur lesquelles apparaissent des données personnelles. Il vous faudra demander à la personne concernée son accord pour récolter ces données, et ce, d’une autre façon que tacitement. Un accord écrit peut suffire. »

Dans le cas d’une rencontre en face à face (lors d’un événement par exemple), il est obligatoire de recevoir un accord (de manière non tacite) de la personne sur qui vous collectez des données.

Une des solutions est de prévoir à chaque saisie manuelle d’un nouveau contact dans votre CRM, un mail demandant explicitement son accord, afin que vous puissiez communiquer avec lui. Vous devrez préciser dans votre e-mail quelles données et à quelles fins vous les recueillez (marketing, commerciales…). Vous êtes ainsi transparents avec vos prospects et futurs clients et cela permet le début d’une communication avec votre entreprise.

STOCKAGE DES DONNÉES 

Quelles données ai-je le droit de conserver ?  Comment le client peut-il savoir quelles données nous avons collectées sur lui ? Qu’en est­-il de la modalité de la communication des données ?

Il y a deux types de données à différencier : les données Transactionnelles (business, N° SIRET…) et les données Signalétiques (numéro de portable, prénom, email…). Toutes ces données peuvent être conservées. Les données personnelles quant à elles sont celles que les entreprises n’ont plus le droit de conserver. Ce sont celles à caractère ethnique, religieuse, et médicale/physique (sauf cas particulier pour le milieu médical).

Comme mentionné précédemment, les entreprises doivent pouvoir justifier du pourquoi elles conservent certaines données. « Il faut le justifier champ par champ et expliquer pourquoi nous gardons cette donnée : qui a les accès, pourquoi, comment… » nous précise Hugues.

Point complexe ; il faut aussi déclarer qui a le droit d’accéder aux données, pourquoi, et ce au cas par cas, type d’utilisateur par type d’utilisateur. Par exemple un Commercial et un Marketeur n’utilisent pas les mêmes données et les mêmes champs. Un Commercial utilisera plutôt des champs fonctionnels. Des données comme une adresse mail ou bien un numéro de téléphone. Il faudra alors justifier pourquoi il peut y avoir accès, car ce sont des données personnelles. Quant au Marketeur celui-ci utilisera plutôt des champs techniques comme la date de création du compte client, le pourcentage d’ouverture d’une Newsletter, la date d’un abonnement à la Newsletter, par exemple.

LE RGPD prévoie également que vous devez pouvoir mettre à disposition les données que vous avez recueillis, à la demande de l’intéressé. Vous avez deux mois pour le faire. Les demandes peuvent être faites sur place ou par écrit et vous pouvez y répondre immédiatement, ou lui remettre un avis de réception qui sera daté et signé. Vous avez ensuite plusieurs moyens de transmettre les données : par voie postale, par email, par clé USB.

Dans le CRM, une solution consiste à mettre en place un portail client que votre contact pourra utiliser afin de visionner les données dont vous disposez sur lui. Il pourra aussi les modifier voire demander leur suppression.

Pour plus d’informations, rendez-vous sur le site de la CNIL : les outils pour bien se préparer

SUPPRESSION DES DONNÉES

Comment et quand efface-t-on des données ?  A-t-on le droit de stocker cette donnée : une personne a cliqué sur notre Newsletter ? Le RGPD a-t-il un impact sur le fait qu’une entreprise conserve les identifiants et mots de passe de ses clients (B2B) ?

Concernant la suppression des données il faut mettre en place dans le CRM des processus automatiques et/ou manuels. Le client n’est pas en connaissance des données qu’une entreprise conserve sur lui/elle. Cela peut donc être une stratégie : pousser une communication pour l’en informer. L’entreprise gagne ainsi en transparence et retient la confiance de l’ensemble de ses clients et prospects. En revanche comme expliqué plus haut, si un client le demande, il faut lui fournir ses données et ce, dans un format lisible.

S’il souhaite que ses données soient supprimées de la base, il faut supprimer l’ensemble des données collectées qu’elles soient digitales (ses passages sur votre site web) ou transactionnelles (commande). Dans ce dernier cas pour ne pas perdre l’historique, on proposera d’anonymiser les données.

Le RGPD n’a donc aucun impact sur le fait qu’une entreprise conserve les mots de passe et identifiants de ses clients, car ils sont de toute manière cryptés, et donc inutilisables sinon par les personnes concernées. En revanche, lors de la création du compte, il faut demander son consentement à la personne concernée. Notre consultant nous explique : « Vous avez plusieurs niveaux de consentement. Le premier porte sur la création du compte et le fait que la personne nous renseigne son adresse e-mail. Le deuxième consentement porte sur l’usage que l’on va faire des données personnelles que nous transmettent nos abonnés. ».

COMMUNICATION 

Qu’en est-il des règles de segmentation (notamment sur la fonction des contacts) ? Avec quels contacts ai-je le droit de communiquer ?

A partir du moment où le client a donné son consentement, il n’y a pas de soucis concernant la segmentation. L’utilisateur reste assez libre. Cependant, une entreprise ne peut communiquer qu’avec ceux qui ont donné leur accord, c’est-à-dire ceux qui sont « Opt-in ». Hugues nous éclaire « Si une personne ne veut plus recevoir notre Newsletter, nous avons l’obligation d’arrêter de lui envoyer cette communication. Si la même personne décide de ne plus recevoir aucune de nos communications, alors plus rien ne doit lui être adressé, tout simplement. ».

Sauf cas particulier :

  • Si le client a un contrat en cours, implicitement il est Opt-In, donc nous pouvons communiquer avec lui et lui envoyer des informations relatives à son contrat (par exemple la date à laquelle son contrat se termine).
  • Toute question impliquant des mesures de sécurité.

Par contre, une entreprise ne peut envoyer de communication pour renouvellement de contrat car c’est alors trop orienté marketing et vente.

LES SANCTIONS PRÉVUES

Quelles sont-elles ?

Les sanctions prévues sont nombreuses et coûteuses. Les sanctions pécuniaires peuvent aller jusqu’à 4% du CA, ou 20 million d’euros en cas de violation de certaines obligations du RGPD. Par exemple si une personne touchée par une des violations décide de porter plainte.

Pour en savoir plus sur les diverses sanctions qu’engendrent un enfreint au RDPG, rendez-vous sur le site de la CNIL : les sanctions

Le règlement RGPD constitue une opportunité pour établir une relation de confiance et durable avec vos cibles.
Il permet de repenser vos actions de lead generation au travers d’une communication de qualité.

Edith LETOURNEL, C.E.O.

Une question sur nos prestations ou nos expériences ?
Besoin d’une information complémentaire ?
Contactez-nous !


26 Quai Charles Pasqua,92300 Levallois-Perret
+33 (0)1 40 89 20 02
contact@efrontech.com