Commerciaux et RGPD : voici 5 préconisations
Voici 5 conseils à prendre en compte pour adapter la GRC, les logiciels CRM, la prospection commerciale et la lead generation aux nouvelles normes européennes RGPD et E-privacy.
Choisir un logiciel CRM conforme au RGPD sans transfert hors EULe RGPD oblige les entreprises à confier les données personnelles des prospects aussi bien B2C que B2B (nom, prénom, email...) à des outils conformes ou des prestataires conformes. Si les données sont transférées ou sauvegardées hors de la communauté européenne, le prospect doit légalement en être informé avant la collecte quelque soit le média-collecteur : site internet, appel téléphonique, rendez-vous physique ou document papier. Au niveau de la mise en place sur le terrain, cette obligation juridique d’information légale avant les transferts hors EU est complexe à respecter en dehors du web et du papier. Il peut donc être logique d’éviter les logiciels CRM qui stockent les données en dehors de l’union européenne afin d’éviter de devoir informer. En complément, un gage de conformité serait que l’outil de gestion de la relation client utilisé par votre entreprise soit certifié aux normes iso27001 ou iso27018 dont les référentiels sont proches des contraintes légales du RGPD. Enfin, n’oubliez pas que les commerciaux ne doivent pas saisir de commentaires désagréables sur les clients dans les CRM : c'est interdit et un travail de nettoyage est à faire si besoin.
Adapter les logiciels CRM et ERP faits-maison aux normes RGPD EU-GDPR
Votre entreprise a construit son propre logiciel de GRC ? Au niveau technique, il va falloir que les informaticiens de votre entreprise le conforment aux nouvelles normes européennes RGPD : https, anti injection sql ou nosql, blocage des attaques XSS et des intrusions par brute force, verrouillage des sessions inactives, politique pertinente de gestion des rôles utilisateurs, minimisation des données collectées, respect des durées légales de conservation de données, tenue des registres d’accountability, tenue des registres d’accès et de violation des accès, études PIA d’impact éventuelles… Cette norme contraignante mais obligatoire s’applique aussi sur les sites internet qui collectent des données et les sauvegardes éventuelles sur des clouds extranet ou sur le réseau local intranet. Au niveau juridique, de nombreuses mentions légales et boutons de consentement sont à prévoir au moment des collectes des données qui alimentent votre application CRM ou ERP.
Cesser l’extraction d’email par des robots automatisés
Avec le RGPD, il n’existe aucun contournement légal (aussi bien en B2C qu’en B2B) qui permette d’utiliser les robots extracteurs d’emails qui parcourent le web pour constituer des fichiers de clients potentiels. En Europe, c’est la fin de la légalité pour les outils de type email grabber, email collector, email scraper, email extractor, email hunter, email crawler…
En effet, toute collecte de données personnelles B2B ou B2C doit juridiquement être accompagnée de mentions légales qui informent notamment sur les droits d’opposition, ce qui rend les robots collecteurs de data (nom, email, adresse...) totalement inutilisables.
En finir avec l’achat de leads collectés de manière non conforme au RGPD
Acheter des leads, c’est acheter les coordonnées de clients potentiels (qualifiés en général par les intentions d’achat et les niveaux de revenu). Cette méthode de prospection se pratique beaucoup dans les secteurs des travaux, des assurances et de l’immobilier. Des sites web spécialisés mettent en relation des internautes en recherche de devis gratuit avec des marques qui fournissent des propositions commerciales. Cependant, un simple audit RGPD (de quelques heures) fait apparaître que 90% à 95% des prestataires de lead generation qui collectent des données personnelles sur des sites web (afin de les revendre) ne le font absolument pas en conformité RGPD.
En effet, la plupart des sites web collecteurs de leads (audités par l’auteur de cet article) n’affichaient aucune des mentions légales GDPR obligatoires et ne pratiquaient pas le consentement juridique libre et éclairé par case à cocher spécifique. Quant à l’achat de base de données d’email, les mêmes principes que la lead generation s’appliquent. N’oubliez pas aussi qu’en cas de contrôle RGPD par la CNIL, vous êtes susceptibles de devoir fournir les preuves des consentements libres, éclairés et spécifiques recueillis par votre prestataire de génération de lead : adresse IP des internautes, heures précises des consentements, détails sur ce à quoi l’internaute a réellement et librement consenti, mention du nom de votre entreprise comme partenaire commercial du collecteur, etc… Votre fournisseur de base de données sera d’ailleurs probablement dans l’impossibilité de vous fournir les preuves détaillées de la conformité des consentements car les données personnelles commercialisées ont été récoltées avant le RGPD ou en non conformité. En conclusion, la génération de leads et l’achat de base email ne sont pas impossibles avec le RGPD mais ils sont rendus particulièrement complexes à légitimer légalement en cas de contrôle.
Arrêter l’inscription forcée des prospects B2C à la newsletter
Selon la loi française (calquée actuellement sur la directive européenne E-privacy), il est autorisé d’inscrire sans consentement un client B2C à la newsletter de l’entreprise si ce client a été informé, lors du parcours d’achat, de cette possibilité et de son droit d’opposition ultérieur. Toutefois et contrairement à la pratique courante, il est strictement interdit d’inscrire (sans consentement) dans la newsletter les prospects B2C qui n’ont pas en encore passé de commande : créer un espace-client ne suffit donc pas, il faut que l’internaute B2C passe sa première commande avant de lui envoyer des newsletters sans consentement. Pour le B2B en revanche, la règle diffère. Un prospect B2B peut en toute légalité être inscrit de force dans une mailing-list si il a été informé de cette possibilité et du droit d’opposition ultérieur dans le formulaire ou le document qui a collecté son email. Dans tous les cas, n’oubliez pas d’inclure les boutons de désabonnement obligatoires pour tous les emailings B2C et B2B.