Disposer d’un CRM présente une belle opportunité pour faciliter la conformité de votre organisation au nouveau RGPD. Si vous avez lu …notre Guide RGPD pour le CRM, vous aurez compris que le Législateur veut avant tout accroitre la protection des individus des entreprises négligentes et peu scrupuleuses. Les points d’attention et les cinq actions concrètes abordés dans notre guide vous permettent de ne pas tomber dans ce travers et vous mettre en conformité avec le RGPD. La mise en place de ces cinq actions va de pair avec les capacités de votre CRM et c’est l’objet du présent article. On parle ainsi de « Critères RGPD » ; critères qu’un CRM moderne doit être en mesure de proposer.
Les critères RGPD : soyez exigent envers votre CRM
Critère 1 : Gérer le recueil du consentement
Le recueil du consentement est crucial dans la nouvelle règlementation. Il est essentiel que le CRM puisse enregistrer ce consentement, mieux encore s’il peut servir pour le recueillir. Sur ce point, les critères suivants, bien que non obligatoires, peuvent être …
- Disponibilité d’un Portail ou Espace permettant aux intéressés d’accéder à leurs informations personnelles entre autres choses. Un tel portail s’intègre au CRM, ou couplé à lui.
- Capacité à traiter des campagnes et de gérer les automatisations intégrées aux messages (Ex. Accepter/Refuser, lien d’activation, etc.)
Critère 2 : Minimiser les données
Plus votre CRM intègre les critères suivants, plus loin vous pouvez aller dans la minimisation des données :
- Capacité de traiter les métadonnées, telles que les données d’audit (ex. date de création et de dernière modification, utilisateur qui a modifié, délai de péremption, etc.)
- Degré de personnalisation de votre CRM, ainsi que la facilité d’effectuer les modifications. (Ex. ajout/suppression de champs, contrôle, etc.)
- Capacité de votre CRM à se synchroniser avec des données de référence afin d’enrichir et/ou de corriger automatiquement vos données
Critère 3 : Gérer le droit d’accès et de modification
C’est le pilier central des critères RGPD. Votre CRM doit être capable :
- d’automatiser la récupération des données personnelles à partir d’une information discriminante en entrée telle qu’un numéro client, un téléphone, ou un e-mail, etc.
- de recevoir des modifications, et éventuellement des demandes de suppression desdites données.
Il ne s’agit pas de demander à votre informaticien d’effectuer ces opérations en base de données, mais de disposer de fonctionnalités propres. (Bouton « supprimer », etc.) Un CRM moderne permet d’effectuer ces opérations à la fois de façon manuelle à la demande et de façon automatisée et/ou systématique. Ainsi, cela est possible si votre CRM fournit :
- un portail intégré/couplé afin que les contacts accèdent à leurs informations personnelles, les éditent ou demandent une suppression via ce portail,
- ou une simple page web permettant aux individus d’accéder à leurs informations, de les modifier ou d’en demander la suppression.
Critère 4 : Confidentialité
Laissé maître des informations-client, un CRM moderne peut gérer l’aspect confidentialité des données grâce au cloisonnement par profil d’utilisateur. Ainsi, la gestion des accès aux données et aux fonctionnalités peut être harmonisée avec l’organigramme fonctionnel et hiérarchique de l’organisation :
- Le cloisonnement fonctionnel : seul les services concerné ont accès à certaines informations
- Le cloisonnement hiérarchique : seul les n+x ont le droit d’accéder aux informations
De plus, un CRM mode offre un système d’ « Audit-Log » permettant d’historiser les accès et les actions des utilisateurs sur les données :
- On sait ainsi qui a effectué la création/lecture/modification/suppression d’une donnée, d’un champ, d’un statut, etc. et à quel moment.
- On a aussi la possibilité de conserver l’historique des valeurs.
- Le système est paramétrable afin de restreindre le traçage sur certaines informations ou de l’effectuer de façon exhaustive et systématique.
Critère 5 : Sécurité
Plus votre CRM intègre les 3 points suivants et plus son niveau de sécurité sera élevé :
- Protéger des accès : procédures de vérification des identités, critères forts sur les mots de passe, reverse DNS, chiffrement des mots de passe
- Sécuriser des voies d’acheminement : surtout en cas d’utilisation du réseau public Extranet et portail, le chiffrement des échanges sur les protocoles Internet (HTTP, FTP, etc.) est capital
- Fiabiliser des infrastructures de stockage et des bases de données : chiffrement des bases de données, chiffrement des disques, chiffrement sélectif des colonnes contenant des données sensibles
Plusieurs options de cryptage sont possibles afin de définir le niveau de sécurisation nécessaire sur l’application et sur l’accès aux données personnelles :
- Cryptage du système de fichier, de sorte que même tombé entre de mains malveillantes, le système de fichier reste inexploitable.
- Cryptage des mots de passes enregistrés en base ; ainsi l’administrateur ne peut pas visualiser les mots de passes des utilisateurs.
- Cryptage de colonnes spécifiques dans les tables, de façon à masquer certaines données sensibles à l’administrateur.
- Double-cryptage des mots de passe à travers le réseau afin que le mot de passe qui transite sur le réseau n’est jamais le même.
- Cryptage des données en transit sur le réseau par chiffrement SSL.
Critère 6 : Suppression
Garantir le droit de suppression et le droit à l’oubli constitue un point sensible des critères RGPD. Votre CRM doit être capable de supprimer les données lorsque celles-ci ne sont plus utiles ou à la demande de l’intéressé. Les CRM modernes proposent plusieurs stratégies pour satisfaire ces contraintes :
- La suppression définitive : c’est la méthode la plus directe.
- L’offuscation ou anonymisation : les méandres de l’informatique font que certaines données ne sont pas supprimable à cause de contraintes relationnelles (elles servent de référence à d’autres données). Les applications modernes permettent de palier à cela grâce à l’offuscation qui consiste à conserver la données mais en la rendant inutilisable par masquage ou opacification.
- L’archivage : il s’agit de retirer les données de la base d’exploitation. Elles ne sont plus visibles ni recherchables. Les données archivées ne sont pas effacées et sont restituable.
Récapitulons : notre démarche en trois étapes
En récapitulation, nous avons synthétisé notre démarche en trois étapes dans le tableau ci-dessous :
Pour conclure
Nous ne le répèterons jamais assez, le CRM est le principal atout de votre organisation vis-à-vis de la nouvelle règlementation. Disposer d’un CRM ne vous dispense pas de vous poser et de réfléchir sur la conformité de votre organisation au RGPD. Mais le CRM facilite votre démarche. Par ailleurs, les nouveaux critères RGPD mis en évidence dans cet article vous aident à formuler le bon paramétrage de votre CRM. Le cas échéant, avec les critères RGPD vous avez en main de quoi orienter votre choix de CRM.
Enfin, n’hésitez pas à solliciter nos consultants dans votre réflexion et vos projets ; contactez-nous ici.
Notre prochain article présente EtCRM, le CRM by Et ceterum sous l’angle des critères RGPD. Ne le ratez pas !