Quelques conseils dans la mise en place du Règlement Général sur la Protection des Données (RGPD)
EN QUOI CONSISTE CETTE RÉGLEMENTATION ?
Le Règlement Général sur la Protection des Données (RGPD) vise établir des règles encadrant la façon dont les entreprises, les gouvernements et autres entités peuvent traiter les données à caractère personnel des personnes qui résident dans l’Union Européenne.
Si vous vous demandiez encore si vous étiez concerné ? La réponse est OUI.
Les règles dépassant même les frontières physiques de l’UE, elles s’appliquent à toute entreprise, qu’elle ait ou non une présence sur le sol européen, qui propose des produits ou des services à des personnes de l’UE ou qui suit le comportement de ces personnes. Entendez que vous fassiez du B2B ou du B2C !
En savoir plus : vous pouvez télécharger le texte officiel https://www.cnil.fr/fr/reglement-europeen-protection-donnees
COMMENT BIEN VOUS PRÉPARER A LA CONFORMITÉ AU RGDP ?
D’après la CNIL (Commission Nationale de l’Informatique et des Libertés www.cnil.fr/professionnel) – le représentant français de la mise en place de cette norme – il y a 4 étapes à effectuer. :
- Identifier un DPO et faire un registre
- Trier les données et les classer
- Respecter les droits des personnes
- Sécuriser vos données
Identifier un DPO et faire un registre
Délégué de la Protection des Données doit pouvoir sensibiliser et obtenir l’adhésion de tous les membres de la société, pour que chacun puisse participer et respecter cette réglementation. Il sera le garant de la mise en place des contrôles et des processus.
A ce stade, vous avez certainement trouvé le gagnant ! Mais sinon, vous pouvez toujours faire un tirage au sort !
D’autre part, afin de prouver que vous êtes sensible à cette nouvelle réglementation et que vous faites le nécessaire, il vous faudra tenir à jour un registre. Nous vous suggérons deux modèles proposés par la CNIL :
Le registre liste les activités de traitement de données personnelles (ex : gestion des prospects, vente en ligne, recouvrement financier…)
Pour chaque activité recensée, il faut préciser :
- L’objectif – par exemple : la conversion des leads en clients
- Les catégories des données à caractère personnel récoltées : nom, prénom, société, téléphone…
- Les personnes qui ont accès à ces données : les responsables commerciaux et l’équipe des commerciaux
- La durée de conservation de ces données : par exemple 1 an (durée durant laquelle les données sont utiles d’un point de vue opérationnel et durée de conservation en archive) Nous vous conseillons de vous reporter aux informations partagées par la CNIL : cnil.fr/fr/limiter-la-conservation-des-donnees
Trer les données et les classer
Vous avez passé beaucoup de temps à faire votre registre ! Mais ouf ! C’est fini !
Ne le rangez pas tout de suite, il va vous être utile pour la seconde étape.
Et enfin, réactiver l’expiration des mots de passe ! Vous-même, vous l’aviez peut être supprimé mais il va falloir vous y astreindre…
Respecter les droits des personnes
Il faut veiller à ce que la personne concernée ait validée sa volonté d’être contacté par vos soins. Pour cela il faut auditer votre liste de diffusion : supprimer toutes les personnes pour lequelles vous n’avez pas d’acceptation de leur part (éventuellement procéder au renvoi d’une demande d’autorisation) et pour les nouveaux abonnés, assurez vous que la personne souhaite rejoindre votre liste de diffusion en envoyant un email automatique pour confirmer l’abonnement. (DOUBLE OPT IN)
Dans Salesforce, vous avez des modifications à appliquer pour respecter la nouvelle réglementation :
- Votre base est saine, vous n’avez pas doublon : nous vous conseillons d’ajouter des champs d’enregistrements de confidentialité des données. Il faut les ajouter sur les pages « Contacts » et « Pistes ».
- Vous avez beaucoup d’informations qu’il faut regrouper – en particulier des doublons : nous vous conseillons d’activer l’objet « individu » . Cette solution est plus complexe. Nous vous proposons de vous aider dans cette démarche
Sécuriser vos données
Chez Salesforce la confiance étant une valeur première, il a été le premier du top 10 des éditeurs de logiciels à avoir protégé les données de ses clients grâce à des règles internes d’entreprise pour sous-traitants approuvées par les autorités européennes de protection des données. De plus, il lui a paru primordiale de faire partie des premières entreprises au monde à avoir été certifiée confirme au cadre Privacy Shield entre L’UE et les Etats-Unis et au cadre Privacy Shield entre la Suisse et les Etats-Unis.
Salesforce offre à ses clients un solide accord sur le traitement des données à caractère personnel contenant des engagements forts en matière de protection de la vie privée, que peu d’éditeurs de logiciels peuvent égaler. Cet accord contient des mécanismes de transfert des données permettant à nos clients de transférer des données à caractère personnel à Salesforce en dehors de l’Union européenne en toute légalité, que ce soit en s’appuyant sur nos règles internes d’entreprise, notre certification Privacy Shield ou les clauses contractuelles types.
Tenez compte des fichiers Excel d’export et aux achats de fichiers entre autres…
Si vous êtes fournisseurs de données, vous pouvez d’ores-et-déjà rassurer votre Client en lui confirmant que vos données sont protégées avec Salesforce.
COMMENT IT.BRM PEUT VOUS AIDER ?
Nous ne vous laissons pas tomber dans cette mission. Nous vous proposons :
- De vous aider dans l’installation de l’objet « individu » et dans le paramétrage des fonctionnalités pour la bonne gestion des données
- De vous accompagner dans la mise en place du registre et/ou de la création des champs;
Pour plus d’information, téléchargez notre document. On y a mis des exemples de mise en pratique