Votre logiciel CRM est-il conforme au RGPD ?

Le Règlement Général sur la Protection des Données entraine un grand nombre d'évolutions pour tout organisme amené à traiter des données personnelles au sein de l'UE ou concernant des citoyens européens. Les entreprises doivent s'assurer que ces traitements remplissent les conditions exigées.

Qu'il s'agisse de clients BtoC ou BtoB, les entreprises disposant d'un logiciel de gestion de la relation client (CRM) doivent se montrer particulièrement vigilantes. Nous vous proposons, au travers de cet article, de revenir sur les principales exigences de conformité au RGPD pour votre logiciel CRM.

Les formulaires de collecte d'e-mails

Ces derniers doivent être clairs, explicites et répondre aux critères suivants :

- Le volume de données demandé ne doit pas être trop important. Les données collectées doivent être pertinentes et utilisées à des fins spécifiques. C'est ce qu'on appelle, dans le cadre du RGPD, le principe de pertinence et de proportionnalité.

- Le formulaire doit être explicite quant au type de données collectées et l'objectif de la collecte (prospection commerciale par exemple)

- Le formulaire doit contenir un lien vers la politique de confidentialité de votre entreprise ou a minima vers les conditions d'utilisation ou le règlement

- Les utilisateurs doivent pouvoir, à tout moment, " annuler " leur inscription (lorsqu'il s'agit d'une newsletter par exemple)

L'export et la suppression des données

Pour être conforme au RGPD, votre logiciel de CRM doit comporter deux fonctionnalités :

- La possibilité d'exporter des données pour permettre à chaque prospect ou client d'avoir accès (sur demande) aux données qu'il vous a communiquées. Ces derniers peuvent également demander que leurs informations soient modifiées (droit à la rectification). L'export de données doit toujours être précédé d'une demande de confirmation auprès de l'utilisateur afin que celui-ci puisse confirmer sa demande.

- La possibilité de supprimer des données, lorsque le prospect ou client en fait la demande. Une fois encore, une demande de confirmation s'impose avant toute suppression définitive des données en question.

Le recueil du consentement

Les utilisateurs doivent pouvoir exprimer clairement leur consentement quant à la collecte de leurs données (d'où la mise en place par de nombreux organisme du " double opt-in " afin que le consentement ne puisse pas être donné par erreur) et être libres de choisir entre les différents types d'utilisation possibles.

Pour être conforme au RGPD, vous avez donc tout intérêt à recouper l'ensemble de votre base de données pour vérifier que tous les prospects et clients sont favorables à la collecte et au stockage de leurs informations.

Quid des données dites " sensibles " ?

Parmi l'ensemble des données personnelles pouvant être collectées auprès des utilisateurs, celles relatives à la vie privée (nommées " données personnelles sensibles " par la CNIL) et visées par l'article 9 du RGPD doivent être traitées en prenant des précautions supplémentaires. Ces données sont considérées comme particulièrement " à risque " et peuvent nuire à la mise en conformité.

Les données personnelles sensibles concernent les catégories suivantes :

- Les données de santé

- L'origine raciale et ethnique

- L'opinion politique

- Les croyances religieuses ou philosophiques

- L'adhésion à un syndicat

- Les données biométriques

- Les données génétiques

L'interdiction de collecter ces données est une mesure de sécurité indispensable pour garantir le respect de la vie privée des personnes. Les entreprises doivent donc s'assurer que ce type d'information n'est pas saisi dans les fiches clients ou prospects dans leur CRM.