GDPR: l’impact de la nouvelle réglementation européenne de protection des données sur le CRM
L'entrée en vigueur de la nouvelle réglementation européenne sur la protection des données personnelles interviendra en 2018. Elle impactera les logiciels de traitement des données clients.
La nouvelle réglementation européenne (General Data Protection Regulation ou GDPR) est probablement le changement le plus important des règles sur la protection de la vie privée depuis deux décennies. Elle remplace et complète la Data Protection Directive (DPD) en vigueur depuis 1995, à une époque où la technologie, les outils, les logiciels étaient bien moins avancés, à une époque où l’intelligence artificielle, les algorithmes et les réseaux sociaux en étaient encore à leurs balbutiements.
Beaucoup d’aspects de la DPD sont désormais obsolètes et cette nouvelle législation vise à protéger les citoyens européens, à veiller à une utilisation honnête et transparente de leurs données personnelles.
Bien évidemment, ces changements impactent directement les logiciels de stockage et de traitement des données clients, et au premier chef les outils de CRM.
Le GDPR représente une opportunité majeure pour chaque entreprise de professionnaliser sa communication et sa relation client. Au sein même des logiciels CRM, la mise en place d’une série d’outils spécifiques permet une meilleure mise en conformité GDPR. Par exemple, le module Direct Data Access permet à chaque client d’accéder directement à ses données, son historique, pour les consulter, les éditer ou les effacer.
Le GDPR est un sujet complexe puisque sa mise en application (attention, chaque entreprise doit être conforme pour mai 2018… c’est demain !) sera plus ou moins ardue en fonction des législations nationales. En France, il est utile de consulter le site de la CNIL, qui donne d’ailleurs un plan d’attaque en 6 étapes, assorti de modèles de documents, pour se mettre en conformité.
Il est important de noter que les sociétés qui ne seront pas conformes s’exposeront à une lourde amende, pouvant aller jusqu’à 4% du chiffre d’affaires annuel. On le voit, le sujet est à prendre au sérieux.
La nouvelle législation s’appliquera à toutes les sociétés, toutes les organisations traitant des données personnelles, et ce à partir du 25 mai 2018.
Parmi de multiples mesures concrètes, notons le renforcement du « Permission marketing » (chaque adresse privée collectée doit l’être avec l’assentiment de la personne concernée, ou encore le droit à l’oubli (chaque personne peut non seulement demander à être supprimée d’une base de données de contacts, mais peut également demander un effacement de son historique).
Sur ce dernier point, la législation est encore paradoxale, puisque d’un autre côté nous devons évidemment conserver toute trace de relation contractuelle avec un client.
C’est tout l’enjeu d’un CRM de dernière génération : permettre à chaque organisation de séparer les données personnelles et éventuellement sensibles de celles qui ne le sont pas, dans le respect de chaque consommateur ou client, mais également en s’assurant de ne pas laisser de vides dans la gestion professionnelle de la relation client. Certains éditeurs de logiciels CRM l’ont bien compris et intègrent déjà la démarche GDPR dans leurs nouvelles versions, comme nous avons commencé à le faire chez Efficy depuis 2013.
Toutes les sociétés qu'elles soient petites ou grandes sont concernées. C'est un texte européen donc il concerne d'abord les entreprises européennes, mais si votre entreprise fait du business en Europe, vous êtes aussi concernés.
Quelques conseils pour vous préparer au GDPR :
1 : Faites l'inventaire
Quelles sont les données personnelles que votre entreprise collecte, traite ? Où sont-elles conservées, comment les obtenez-vous, qui y a accès, combien de temps les conservez-vous, sont-elles chiffrées, les partagez-vous avec des tiers ? etc. Toutes ces questions doivent trouver une réponse et vous devrez, en mai 2018, avoir un inventaire précis en votre possession.
2 : Informez-vousDu management à la production, chaque collaborateur lié de près au traitement de données sera sollicité à un moment ou l’autre du processus.
Assurez-vous que l’information soit maîtrisée et circule.
3 : Désignez un responsable chargé de la protection des données
Certaines entreprises ont l’obligation de nommer un Data Protection Officier, responsable officiel de la protection des données personnelles. Cette personne sera en charge de veiller sur les données personnelles que votre entreprise a en sa possession. Si vous n’avez pas l’obligation officielle de nommer un DPO, il est sain d’avoir un responsable dédié en charge de ce sujet et référent à opposer à tout interlocuteur concerné (avocat, contrôleur, service consommateurs…).
4 : Passez en revue vos conditions générales
Passez en revue l'intégralité de vos CGV et textes relatifs à la collecte des données personnelles de vos utilisateurs et complétez-les.