Passer au contenu
Accueil » GDPR et CRM (Partie 1): Qu'est-ce que le GDPR et comment cela affecte-t-il le CRM?

GDPR et CRM (Partie 1): Qu'est-ce que le GDPR et comment cela affecte-t-il le CRM?

Si vous ne vous êtes pas caché sous un rocher au cours des derniers mois, vous avez probablement beaucoup entendu parler du RGPD. À propos de la façon dont si le RGPD était la loi du pays aux États-Unis, ses normes auraient pu empêcher la violation de données d'Equifax (aujourd'hui l'une des plus importantes de l'histoire). À propos de la façon dont le RGPD n'épargne personne - avec des géants comme Google révisant leurs produits pour les rendre conformes. Et même sur la façon dont le Congrès américain, dynamisé par le scandale Cambridge Analytica, a demandé à Mark Zuckerberg si Facebook étendrait ses outils de confidentialité conformes au RGPD aux utilisateurs du monde entier, au cours de sa Audience du Congrès sur la vie privée

Que vous vous cachiez sous un rocher ou que vous maîtrisiez bien le GDPR, il est légalement impératif que votre entreprise se conforme, elle aussi, à la loi historique d'ici au mois de mai 25. Avec tant de choses à changer en si peu de temps, il peut être difficile de se lancer. Pour vous aider à naviguer dans cette aventure, nous avons créé cette série de pièces 3 sur GDPR. Nous y traitons de tout ce que vous devez savoir pour vous conformer à la partie principale de la loi:

  1. Qu'est-ce que le GDPR et comment affecte-t-il le CRM? (Partie 1)
  2. Comment Vtiger vous aide à vous conformer au GDPR, y compris à la puissante gestion des consentements (Partie 2)
  3. Comment configurer les nouvelles fonctionnalités de confidentialité de Vtiger pour se conformer à GDPR (Part 3)

Divulgation

Cette série couvre le respect général des principes et droits fondamentaux du GDPR (articles Entre 5 et 23). Il existe d’autres processus, responsabilités et normes que vous devez respecter (articles Entre 24 et 43) et ne sont pas couverts dans cette série.

Cette série et les changements de produits à venir proviennent de quelques sources différentes. Parmi les textes juridiques et leurs interprétations généralement acceptées. À partir de discussions avec les clients et leurs avocats, et d’autres recherches tertiaires sur des solutions aux problèmes de consentement juridique que nous avons abordés. Les instructions générales dans lesquelles il a été conçu devraient aider l’entreprise moyenne à se mettre en conformité, mais ne doivent pas être considérées comme des conseils juridiques, conseils que nous vous recommandons néanmoins de consulter lors de l’interprétation du GDPR pour votre scénario spécifique.

Si vous comprenez déjà l'importance du RGPD et n'avez pas besoin d'une introduction, n'hésitez pas à passer à la section intitulée «Voici comment le RGPD change votre entreprise».

Qu'est-ce que GDPR?

Le GDPR est une nouvelle loi européenne qui entrera en vigueur le 13 mai, 25, qui réglemente la manière dont les entreprises peuvent collecter, stocker et utiliser les données des citoyens européens. Plus à ce sujet dans une seconde.

Pourquoi le GDPR a-t-il été adopté?

Pour dire les choses simplement, empêcher les entreprises de collecter et d'utiliser sans discernement les données des gens d'une manière qui pourrait leur nuire. Aujourd'hui, les entreprises traitent les données de la même manière que les nations impérialistes économiques traitent les pays étrangers. Ils capturent autant que possible et l'exploitent avec peu de respect pour les souhaits des propriétaires, ou sans se soucier de l'effet néfaste qu'il a sur eux.

Cette comparaison peut sembler dure, car personne ne meurt lorsqu'une entreprise achète une liste de prospects et commercialise sans son consentement. Mais, lorsqu'Equifax a perdu de manière critique les données sensibles de plus de 140 millions de personnes, puis les a essentiellement laissées pour faire face aux conséquences, la blessure était beaucoup plus palpable. Leur identité privée et leur avenir financier étaient voués à un avenir incertain circulant sur le marché noir. Cela pourrait tout aussi bien être votre historique de recherche Google ou vos messages privés, et vous auriez toujours peu de recours juridiques si cela se produisait.

La réaction logique à cela, alors, est

Si seulement quelqu'un me donnait le droit de choisir qui pouvait avoir mes données, ce pour quoi elles peuvent et ne peuvent pas l'utiliser, veillera à ce qu'elles soient gardées en sécurité et les punisse pour avoir violé ces droits!

Et c'est exactement ce que fait le RGPD pour les citoyens de l'UE.

Dois-je me conformer au GDPR?

Le GDPR s’applique à vous si vous remplissez l’une des conditions suivantes:

  1. Vous avez des clients dans l'UE
  2. Vous fournissez des services (payants ou gratuits) aux citoyens de l'UE
  3. Vous vendez aux citoyens de l'UE
  4. Vous surveillez les activités des citoyens de l'UE

Si votre entreprise est exclusivement locale et extérieure à l'UE, vous n'avez probablement pas à vous soucier du RGPD. Il est peu probable qu'un magasin de fleurs dans la campagne de l'Ohio qui commercialise et expédie uniquement vers la ville locale soit obligé de se conformer, même si quelqu'un de l'UE s'arrête à votre site Web et se retrouve dans votre solution d'analyse.

Mais ce n'est pas parce que votre entreprise est petite que le RGPD ne s'applique pas. Une société de référencement d'une petite ville qui commercialise ses services en ligne et compte déjà quelques clients de quelques autres pays, même si elle ne cible pas spécifiquement les clients de l'UE, devra probablement se conformer au RGPD, car on pourrait imaginer que la société de référencement accueillerait favorablement les affaires des clients européens si elle émergeait.

Quels droits dois-je respecter?

Les citoyens de l'UE possèdent désormais légalement même les données les concernant qui sont en votre possession. Et ils ont certains droits fondamentaux qui vont avec cette propriété. Nous utilisons la règle des 80/20 pour résumer les textes ci-dessous en une seule ligne. Comme pour tout résumé, il y a toujours des mises en garde, donc si vous êtes curieux, cliquez sur les liens inclus pour lire le texte légal complet et les exceptions (elles ne sont pas longues!):

  1. Lorsque vous collectez des données auprès de quelqu'un, vous devez indiquer ce que vous comptez en faire et combien de temps vous comptez conserver, entre autres informations, au moment de la collecte (articles 7, 12, 13, 14)
    1. En règle générale, vous ne pouvez pas stocker d’informations liées aux antécédents criminels (article 10)
    2. Vous ne pouvez stocker des informations sur les enfants que si un tuteur y consent (article 8)
    3. Vous devez obtenir un consentement pour stocker et utiliser des données sensibles (article 9, 10)
  2. Lorsque vous utilisez des données provenant de quelqu'un, toutes vos utilisations doivent être faites avec le consentement de cette utilisation, en relation directe avec une utilisation déjà convenue, ou bien parce qu'elles ont été approuvées. critère de mise en balance des intérêts, avec quelques réserves (article 6)
  3. Vous devez répondre aux demandes de droits suivantes d'un contact dans le mois 1 suivant la demande (article 12)
    1. Pour savoir quelles informations vous avez sur eux et à quoi vous les utilisez (article 15)
    2. Pour corriger toute information que vous avez sur eux (article 16)
    3. Pour effacer les données que vous avez sur eux (article 17)
    4. Pour restreindre votre capacité à utiliser leurs données sans avoir à les supprimer (article 18)
    5. Pour savoir quand vous avez effacé ou arrêté d'utiliser leurs données (article 19)
    6. Pour transférer vos données à un concurrent (article 20)
    7. Pour s'opposer à tout processus (article 21)
    8. S'opposer à la prise de décision automatisée (algorithmique) (article 22)
  4. Vous ne devez pas utiliser ou stocker des données plus longtemps que nécessaire (considérant 39)
  5. Vous devez utiliser les données sécurisées de manière proportionnée en termes de sécurité au préjudice potentiel que pourrait subir la personne concernée si les données étaient exposées (article 25, 32)

Comment le GDPR affecte-t-il mon entreprise?

Comment vous stockez et gérez les données de contact

Il existe plusieurs types de données 2 à prendre en compte dans le GDPR. Données sensibles et données personnelles. Voici des exemples spécifiques de données, regroupés par type.

Pas sensible Sensibilité
Ne pas identifier personnellement Marque préférée de puces
Code postal
Genre
Religion
Origine ethnique
Affiliation politique
Identifiant personnellement Nom
Adresse email
Facebook ID
Numéro national d'identité
Numéro de Carte de Crédit

Données sensibles

Il s'agit de données qui ne sont pas accessibles au public et qui peuvent être utilisées à mauvais escient pour nuire aux gens - comme un numéro de passeport ou l'affiliation politique de quelqu'un. Le RGPD recommande d'obtenir le consentement pour le stockage des données sensibles et de les protéger par la suite si possible. Ces données sont mieux protégées en procédant comme suit:

  • Cryptage de ces champs dans les bases de données pour éviter les utilisations abusives en cas de violation de données
  • Masquer ces champs dans les vues des employés pour éviter toute utilisation abusive par les employés lorsque l'accès n'est pas nécessaire (par exemple: affichez uniquement les derniers chiffres 4 d'un numéro de CC)
  • Se connecter lorsque les employés dissimulent des valeurs pour dissuader les utilisations abusives lorsque l'accès est nécessaire

Personnellement identifiant des données

Les données ne peuvent être nuisibles que si elles peuvent être reliées à une personne. Le GDPR permet à vos contacts de vous demander d’effacer leurs données d’identification personnelle certaines conditions).

Une fois les données personnelles effacées, les informations associées qui sont importantes pour la prise de décision, telles que l'historique des achats et l'engagement avec vos services numériques, peuvent être stockées en toute sécurité, car elles ne sont plus associées à une personne identifiable.

Soyez prudent avec les groupes d'informations non personnelles, car ces groupes peuvent devenir identifiables si ce groupe est unique à une seule personne. Par exemple, lorsque vous connaissez le code postal, le sexe, l'appartenance ethnique et la date de naissance d'une personne - ensemble, ces propriétés peuvent être uniques à une seule personne et lui être liées via une autre source d'informations - il est donc important de s'assurer que cela ne se produit pas avec ce qui reste de votre ensemble de données effacé.

Limites de stockage

Personne ne devrait rester dans votre base de données pour toujours, simplement parce qu'ils ont rempli votre formulaire Web il était une fois. Vous devez maintenant arrêter automatiquement d'utiliser et éventuellement supprimer les données d'identification personnelles lorsque vous n'en avez plus besoin. Le délai d'utilisation approprié varie d'un cas à l'autre. Dans notre cas, nous supprimerons nos données de contact un an après la fin d'un contact qui interagit directement avec nous.

Comment vous présentez les formulaires de site Web

Divulgations

Les gens ne devraient vraiment soumettre des informations en ligne que s'ils savent ce que le destinataire va en faire. Par conséquent, vos formulaires Web doivent maintenant indiquer directement comment les informations seront utilisées ou créer un lien vers des informations sur la manière dont vous utiliserez leurs données. Cela peut être fait via des info-bulles ou en se connectant directement à une politique d'utilisation des données.

E-mail opt-ins

Si vous souhaitez abonner une personne à votre marketing par courriel après la soumission d'un formulaire, celle-ci doit désormais également y consentir explicitement. Cela signifie afficher une case à cocher non cochée avec un libellé clair du type "J'aimerais recevoir des courriels marketing de [société]". Simplement ne pas demander, ou fournir une case à cocher pré-cochée ne compte plus.

Comment vous écrivez votre politique de confidentialité

Chaque fois que vous collectez des informations auprès d'une personne ou que vous prévoyez de les utiliser à de nouvelles fins, vous devez l'informer de certaines bases qui sont généralement transmises par le biais d'une politique de confidentialité. Celui-ci doit être rédigé dans un langage clair, facile à comprendre et divisé de telle sorte que chaque utilisation de leurs données et finalité soit écrite séparément. Les éléments les plus importants à inclure dans cette politique sont:

  • Que fait votre entreprise et comment vous contacter
  • Comment vous utilisez leurs données et pour quelles raisons vous ne demanderez pas votre consentement
  • Avec qui allez-vous partager leurs données?
  • Si vous transférez les données en dehors du pays du contact
  • Pendant combien de temps prévoyez-vous utiliser les données pour
  • Tous les droits du sujet (accéder, corriger, effacer, restreindre ou transférer des données, ou déposer une plainte)
  • Que se passe-t-il si le contact ne fournit pas les données
  • Si vous prenez des décisions automatiques avec leurs données

Comment vous conduisez le marketing par courriel

Double opt-ins

Pour envoyer un e-mail marketing à une personne, vous devez disposer d'une preuve irréfutable de sa volonté de la recevoir. Parce que n'importe qui peut remplir un formulaire sur votre site en prétendant être quelqu'un d'autre, le meilleur moyen d'obtenir cette preuve consiste à utiliser un double courrier électronique.

Les e-mails de double opt-in fonctionnent comme ceci: lorsque quelqu'un indique qu'il souhaite recevoir votre e-mail (soit verbalement, soit en cochant une case sur un formulaire Web), vous lui envoyez un e-mail contenant un lien spécial. S'ils cliquent dessus, leur clic est enregistré et ils sont ajoutés à votre liste de diffusion.

Gestion des préférences et désinscription

Chaque fois que vous envoyez un e-mail à un contact, il doit être aussi facile pour lui de refuser que pour lui de s'inscrire. Cela signifie généralement d'inclure un lien de désabonnement au bas de l'e-mail. Une solution plus robuste permettrait aux contacts de gérer les entrées et les sorties de listes de messagerie spécifiques à partir d'une page accessible à partir du pied de page de courrier électronique.

Comment suivre les clients sur des sites Web, des courriels et des documents

De nombreux services numériques que vous fournissez aux clients suivront leurs actions et vous fourniront des analyses, afin que vous puissiez apprendre à améliorer leur expérience. Cela pourrait être un site Web, une campagne de courrier électronique ou un document que vous avez partagé avec eux. Indépendamment de la manière dont le suivi est effectué, dans la plupart des cas, vous devez informer les utilisateurs du suivi et leur permettre de désactiver le suivi.

Lorsque vous utilisez les données client

Vous utilisez les données client à plusieurs fins. Qu'il s'agisse de les stocker, de les envoyer par courrier électronique, de vérifier leurs antécédents de crédit ou de les partager avec des tiers, cela les aidera à mieux utiliser vos produits.

Quelle que soit l'utilisation des données client, vous devez généralement le faire pour l'une des trois raisons suivantes:

  1. Vous avez reçu l'autorisation préalable explicite pour cette utilisation
  2. L’utilisation est liée à un autre objectif pour lequel vous avez déjà reçu votre consentement.
  3. L'objectif est dans votre intérêt légitime et ne viole pas les droits du contact (le critère de la mise en balance)

Nous recommandons toujours d'obtenir le consentement pour autant de raisons que possible, car c'est la seule façon incontestable d'utiliser les données de vos contacts. Quel que soit le consentement que vous obtenez pour une fin, la meilleure façon de l'obtenir est d'une manière non falsifiable. Celles-ci vont d'une communication enregistrée comme un e-mail à un portail de gestion des préférences auquel les contacts peuvent se connecter pour gérer leurs consentements. Comme pour les préférences de messagerie, il est important de permettre aux contacts de révoquer leur consentement au moins aussi facilement qu'ils l'ont fourni.

Les nouveaux droits légaux que vous devez faciliter

Droit de savoir quelles données vous stockez et possibilité d'exporter ces données

Si un contact vous demande les informations que vous détenez sur vous, vous êtes légalement tenu de le faire. En outre, vous devez indiquer à quoi vous l’utilisez, avec qui vous le partagez, pendant combien de temps vous comptez le conserver et avec les autres droits dont ils disposent. Ils peuvent en outre demander une copie de toutes ces informations dans un format lisible par machine, tel qu'un fichier CSV ou une base de données, afin que le système CRM que vous utilisez pour stocker leurs informations facilite la création de tels fichiers.

Droit de mettre à jour leurs informations

Si un contact vous demande de mettre à jour des informations incorrectes ou manquantes, une fois que vous êtes en mesure de confirmer qui elles sont, vous devez mettre à jour ces informations dans vos systèmes. Ceci est particulièrement important si vous utilisez ces données pour prendre des décisions manuellement ou de manière algorithmique.

Droit d'être oublié

Un contact a le droit de faire effacer vos données les concernant. Bien que la solution la plus simple consiste à effacer tous vos enregistrements qui leur sont associés, cela n’est généralement pas souhaitable, car cela risquerait de supprimer des informations commerciales importantes telles que les données d’achat, le rendu des revenus et d’autres rapports. La solution idéale consiste à supprimer les informations d'identification personnelle du dossier d'un contact afin que vous ne puissiez plus les identifier. Les meilleures solutions CRM conformes au GDPR faciliteront ce type d'effacement.

Droit de s'opposer à l'un de vos objectifs

Un contact peut vous demander de ne pas utiliser ses données à des fins spécifiques. Cela pourrait signifier le retrait du marketing, en demandant que cela ne soit pas partagé avec un tiers, ou tout autre objectif spécifique. Pour vous faciliter la tâche sans nécessiter une gestion d’enregistrements ardue, choisissez une solution CRM permettant à vos contacts de gérer automatiquement leur consentement à vos utilisations, afin que les équipes chargées d’agir avec cette autorisation ne puissent agir que sur les contacts ayant donné leur accord.

Droit d'arrêter d'utiliser l'intégralité de leur dossier

Les contacts ont enfin le droit de vous demander de les supprimer de toutes les formes de traitement que vous effectuez. Quel que soit le système que vous utilisez pour stocker leurs informations, vous devez être en mesure de geler leurs enregistrements de sorte qu'ils ne puissent pas être modifiés par vos utilisateurs, ni envoyés par courrier électronique à des fins commerciales manuellement ou automatiquement.

Il y a tellement de choses à faire! Comment Vtiger va-t-il m'aider à me conformer?

Il y a peut-être beaucoup de nouvelles réglementations à respecter, mais les changements apportés à Vtiger d'ici le mois de mai 9th permettent aux entreprises de déployer sans effort la conformité au GDPR. Que vos clients soient aux États-Unis, dans l’Union européenne ou ailleurs, ces modifications vous aideront à présenter des informations, à stocker des données sensibles de manière plus sécurisée, à commercialiser légalement les e-mails et à laisser vos contacts donner et gérer leurs propres consentements avec une expérience unique. CRM sur le marché aujourd'hui.

Vous pouvez trouver un aperçu complet de ces changements dans Partie 2 de cette série.

Bientôt disponible!