Comment conjuguer la collecte des données client avec le RGPD ?
À l’ère de la digitalisation, la collecte des données est devenue l’activité principale des entreprises pour générer des profits.
La data représente une valeur considérable et comme tout actif d’une entreprise, les données personnelles méritent d’être traitées correctement.
La protection des données est cruciale. Les entreprises ont donc l’obligation de se conformer à la législation.
Le RGPD (le règlement sur la protection des données personnelles) est entré en vigueur le 25 mai 2018. Ce règlement européen encadre juridiquement la collecte, le stockage et l’utilisation des données des citoyens européens. Le RGPD succède en France à la Loi Informatique et Libertés.
Les entreprises, ne respectant pas les principes et les droits établis par le RGPD, subissent des sanctions extrêmement coûteuses.
En 2021, les amendes liées au non-respect du RGPD se chiffrent à plus d’un milliard d’euros, soit 521 % de plus que l’année précédente !
Dans quel cadre doivent s’inscrire les entreprises européennes pour répondre aux obligations en termes de RGPD ?
Les entreprises doivent respecter les principes établis par le RGPD lors du traitement des données :
- La légalité, l’équité et la transparence : les données collectées doivent être utilisées à bon escient.
- La limitation de la finalité : le motif pour toute activité de traitement doit être légitime. Les objectifs doivent être clairs et clairement communiqués aux personnes concernées.
- La minimisation des données : Il convient de collecter uniquement les données nécessaires à la finalité établie.
La collecte passive est interdite par le RGPD. Il convient donc de privilégier la qualité à la quantité.
Quelles sont les informations à collecter pour enrichir la base de données ?
Uniquement celles qui sont pertinentes pour votre entreprise, améliorant ainsi la qualité de votre base de données. Concrètement, ne demandez pas la date de naissance de vos clients si vous ne planifiez pas de leur offrir un cadeau.
Faut-il recueillir le consentement préalable du client ?
Oui. En tant que responsable du traitement, vous devez être transparent sur les méthodes de souscription et de désabonnement.
Faut-il actualiser régulièrement ses cibles de communication ?
Oui. La mise à jour régulière permet d’éviter les litiges avec les clients et les prospects, car certains se désabonnent aux newsletters, etc.
Le droit d’opposition impose à l’entreprise de retirer le contact de ses cibles de communication.
Combien de temps est-il possible de conserver des données collectées ?
Le temps nécessaire à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte. Le RGPD impose aux entreprises de supprimer les données personnelles des personnes inactives depuis 3 ans.
De combien de temps l’entreprise dispose-t-elle pour rectifier les données des personnes ?
L’entreprise dispose de 30 jours pour accéder aux demandes de suppression et/ou modification des données personnelles.
Les entreprises ont un devoir d’intégrité et de confidentialité des données personnelles qu’elles ont traitées :
- les données doivent être exactes, complètes et mises à jour ;
- les données collectées doivent être préservées des menaces internes et externes, cela nécessite une diligence proactive ;
- les pays garantissent les droits des citoyens européens. Pour que le transfert soit permis, le pays tiers doit offrir le même niveau de protection.
Comment aborder le transfert des données personnelles en dehors de l’UE/l’EEE ?
Depuis le 16 juillet 2020, le « Privacy Shield », ou bouclier de protection de la vie privée n’est plus fiable pour transférer les données personnelles entre l’Union européenne et les USA.
L’arrêt de la CJUE (la Cour de justice de l’Union européenne), dit « Schrems II », a secoué la planète entière, car plus de 4 000 entreprises s’appuyaient sur ce bouclier et du jour au lendemain, les transferts via le « Privacy Shield » sont devenus illégaux.
Le 4 juin 2021, suite aux invalidations successives des accords passés entre l’UE et les USA (« Safe Harbour » et « Privacy Shield »), la Commission européenne a mis à jour de nouvelles CCT, ces clauses contractuelles types sont des modèles de contrats de transfert de données personnelles.
Ces incidents entraînent une perte de confiance de la part des citoyens envers les entreprises. Ils sont, à juste titre, de plus en plus préoccupés par la manière dont leurs données personnelles sont collectées et utilisées.
Il est évident qu’il est nécessaire de contrôler les flux transfrontaliers de données à des fins de protection de la vie privée, néanmoins l’application de ces contrôles dans un monde de plus en plus interconnecté est très difficile.
Il est donc essentiel de cartographier tous les transferts de données qui ont lieu au sein d’une organisation.
Pour qu’un transfert de données ait lieu en dehors de l’UE/EEE, le pays tiers doit remplir les conditions fixées par le RGPD :
- la décision d’adéquation définie par le RGPD doit être respectée. On parle alors de niveau de « protection adéquat » ;
- les garanties doivent être appropriées et reposent sur les CCT ;
- sans cela, la personne concernée doit consentir à ce transfert.
En effet, lorsqu’un importateur de données n’est pas en mesure de se conformer aux conditions exigées par le RGPD, l’exportateur de données de l’UE est tenu de suspendre le transfert de données et/ou de résilier le contrat.
La mise en demeure récente d’un gestionnaire de site web par la CNIL impose aux entreprises d’utiliser des outils n’entraînant pas de transfert hors Europe. Si vous utilisez Google Analytics, sur votre site web, il faut le configurer pour le rendre respectueux des obligations RGPD :
- Paramétrage de la durée,
- anonymisation des adresses IP,
- revue contractuelle,
- implémentation d’un consent mode…
Les actions à mettre en place sont nombreuses.
Quelles sont les fonctionnalités incontournables qu’un logiciel CRM doit offrir pour assurer la protection des données personnelles de clients et de prospects ?
L’hébergement des données en lieu sûr
Il est impératif de veiller à ce que vos serveurs et ceux de vos sous-traitants soient sécurisés (habilitation, mot de passe, gestion des clés de chiffrement, etc.), car ils centralisent une grande quantité de données. En parallèle, la sécurisation physique des data centers doit être assurée pour limiter le risque de failles de sécurité liées à l’intrusion physique.
Le logiciel CRM étant souvent le point névralgique des données clients et prospects d’une entreprise, les connexions doivent être très encadrées.
Authentification des utilisateurs et gestion des droits d’accès
L’accès à la solution CRM doit être chiffré par VPN ou https, chaque identifiant doit être muni d’un identifiant de connexion unique et personnel pour accéder à l’information y compris en lecture seule.
Les mots de passe doivent respecter certaines règles de sécurité et de complexité.
Et il est fortement recommandé de mettre en place une politique de gestion des droits d’accès. 71 % des collaborateurs d’une entreprise ont accès à des données dont ils n’ont pas d’usage légitime.
Mise en place de dispositifs de traçabilité des données
Pour éviter les accès frauduleux ou une utilisation abusive des données personnelles.
Il convient :
- d’enregistrer des évènements tels que les connexions, les exports et les ciblages ;
- de favoriser l’utilisation de menus déroulants ou le cas échéant d’auditer régulièrement les champs de texte libre pour éviter la présence de commentaires douteux dans les bases de données ;
- de dissocier les environnements de test et de production. Ainsi, le test doit être basé sur des données anonymisées ou fictives, alors que la production contient des données réelles conservées pendant une durée prédéfinie en fonction de la finalité de la collecte.
Limiter le stockage des données sur les équipements nomades
- Sensibiliser les salariés aux risques de perte ou vol d’un ordinateur portable, d’un smartphone ou encore d’une tablette.
- Impliquer la direction informatique pour réaliser des sauvegardes régulières et sécurisées.
Protéger les échanges avec les applications tierces
Les flux d’information avec les autres briques du système d’information doivent être cryptés et sécurisés.
Il convient de choisir un CRM qui prend en compte la protection des données personnelles dès la conception de la solution.
Centraliser les règles de gestion des données personnelles
Finalement, pour garantir la protection des données, il faut organiser vos processus internes.
Les données personnelles doivent être centralisées en un seul et même endroit.
Si vous souhaitez en savoir plus sur les solutions CRM by Efficy consultez nos avis Appvizer.
La confiance ne se demande pas, elle se mérite !
Les nombreux scandales liés aux transferts de données en dehors de l’UE/l’EEE démontrent que trop d’entreprises n’ont pas compris le danger du transfert de données personnelles vers des pays qui ne garantissent pas les droits des citoyens européens.
Les principes fixés par le RGPD ne doivent pas être sous-estimés, car la violation de ceux-ci entraîne des sanctions et des amendes colossales.
Pour toute organisation, le respect de la vie privée des clients passe par une stratégie intelligente pour inspirer la confiance, renforcer la notoriété et accompagner la croissance.
Les entreprises qui prennent au sérieux les questions de confidentialité seront récompensées à long terme en gagnant la confiance de leurs clients.
D’où l’importance d’être transparent et de communiquer auprès des utilisateurs sur l’engagement aux principes établis de la RGPD pour protéger les données personnelles.
Fraîchement recrutée par Efficy, je suis Local Marketing Manager sur le marché français. J’ai choisi de rejoindre cette aventure auprès d’un groupe qui porte les couleurs de l’Europe.
Mon ADN pétille en mode projet, j’ai la chance de travailler au sein d’une équipe cosmopolite, ce qui permet de rester en éveil et de s’inspirer mutuellement.
J’aime les technologies innovantes qui permettent de développer la qualité de la relation humaine à distance, d’accélérer la prise de décisions et donc de gagner en efficacité.