RGPD : profitez de cette opportunité pour nettoyer votre CRM

Protection des données personnelles dans la gestion de votre relation client : êtes-vous « à risque » ?

Le 24 mai 2018 marquera la fin de la période de transition accordée aux organisations pour se conformer au Règlement Général sur la Protection des Données (RGPD), entré en vigueur en 2016.
Ce règlement européen renforce et élargit les principes en vigueur en France depuis la loi « Informatique et liberté » de 1978 et la directive européenne de 1995.
Je vous propose d’en aborder un aspect très concret : l’adéquation à l’usage et ses conséquences.
 

Le RGPD renforce la responsabilité des organisations (et donc les sanctions liées) sur les usages des données à caractère personnel, qui doivent obéir notamment aux règles suivantes, déjà affirmées dans les textes précédents ** :

  • « Elles sont collectées pour des finalités déterminées, explicites et légitimes »
  • « Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs »
  • « Elles sont exactes, complètes et, si nécessaire, mises à jour »
  • « Elles sont conservées […] pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées »

C’est peut-être l’occasion de s’interroger sur la légitimité de certaines données couramment présentes dans les bases de données des outils de gestion de la relation client (CRM).
 

Il n’est pas rare que les contacts personnels de clients soient à disposition des entreprises

Lors des projets de mise en place d’outils CRM, les représentants des utilisateurs (essentiellement des commerciaux) et le management accordent souvent une valeur très forte aux données personnelles des contacts, clients ou prospects. Par exemple, il arrive que les commerciaux disposent des numéros de téléphone ou des e-mails personnels de leurs clients, pour de multiples raisons (bonnes relations, travail à domicile, perte ou oubli du téléphone professionnel…). Alors, pourquoi ne pas les stocker dans le système ? D’ailleurs, les champs « téléphone personnel » et « e-mail personnel » sont prévus par l’outil ! Quand bien même cette information ne serait disponible que dans 3 % des cas, quasiment jamais utilisée ni mise à jour, il est difficile de convaincre les utilisateurs  de ne pas la stocker.

De même, les sujets liés à la durée de vie des données (tri, suppression, archivage) sont souvent au dernier niveau de priorité dans les projets. C’est un peu le syndrome du grenier. Quand on a de la place, on range les objets inutilisés au grenier, parce que « ça pourrait servir un jour ». Or la place, dans les systèmes informatiques, ne coûte quasiment rien pour ce type de données.

 

Mais les organisations sont responsables de ces données personnelles : sont-elles protégées ?

Le terme données personnelles recouvre un périmètre très large : concrètement, toute information permettant d’identifier une personne physique ***. Il faut désormais justifier la conservation de ces données, les maintenir à jour et assumer la responsabilité des conséquences en cas d’accident (fuite de données, mauvais usage, etc.) Le jeu en vaut-il la chandelle ?

Le RGPD est une très bonne occasion de lancer une réflexion sur le « grenier » de vos outils CRM : quel est le taux d’usage des données stockées ? Quand sont-elles mises à jour ? À quoi servent-elles réellement ? La plupart des outils offrent la possibilité de récupérer des traces assez précises et d’établir des statistiques. Sur la base de ces informations, vous pourrez alors entamer une discussion entre les utilisateurs, la maîtrise d’ouvrage et les personnes en charge des données (Correspondant Informatique et Libertés, Data Privacy Officer, Responsable de la Sécurité du SI) pour évaluer ensemble la nécessité de stocker puis de conserver les données à caractère personnel de vos clients, prospects, partenaires, fournisseurs, etc. Ensuite, vous pourrez nettoyer les bases et adapter les outils.

Cette démarche vaut pour les outils en place comme pour les outils à venir : la migration des données d’un ancien système vers un nouveau est une opportunité à saisir pour passer un « coup de balai » salutaire.

 

Conclusion

Il y a un véritable enjeu de conduite du changement. La perception de la valeur de la donnée est plus évidente que celle du risque lié à sa possession. Au-delà de la contrainte réglementaire, on peut faire appel à la prise de conscience qui s’opère aujourd’hui chez chacun d’entre nous, en tant que citoyen et consommateur : souhaitons-nous que nos informations personnelles soient stockées indéfiniment par des entreprises ou d’autres organismes avec lesquels nous n’avons pas ou plus de rapports ?
 

La tribune de Jean-Eloi Pénicaut
Publiée sur les echos, le 23 novembre 2017

 

** Article 6 de la Loi Informatique et Liberté de 1978 et de la Directive européenne 95-46.

 *** Définition d’une donnée à caractère personnel selon le RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»);  est  réputée  être  une  «personne physique identifiable» une  personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.