RGPD et sous traitance : comment vérifier que mon CRM est en conformité ?

Si vous pensez :

  • qu’il vous suffit de changer de CRM pour que vous soyez en conformité au RGPD
  • qu’il suffit que votre CRM soit conforme au RGPD pour que vous le soyez aussi

Vous avez FAUX. Sur toute la ligne.

Petite mise au point rapide (si vous avez manqué le début…) ! Le RGPD concerne toute entreprise qui collecte et traite des données personnelles, et ce, que ce soit automatisé ou non, que vous soyez en BtoB ou en BtoC.

Pour mémoire, le traitement de données personnelles est défini comme suit dans le RGPD :

«Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

Source : CNIL, la sécurité des données personnelles

En clair, vous et les moyens que vous utilisez pour la collecte et le traitement des données personnelles (dont votre CRM) devez être conformes au règlement européen. Donc votre entreprise ainsi que vos sous-traitants devez vous mettre en conformité. Car votre CRM, ou tout autre logiciel utilisé au sein de votre organisation, doit respecter certaines obligations en tant que sous-traitant.

Lire notre article : Faut-il changer de CRM pour être en conformité ?

Les obligations du sous-traitant

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données.

Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).

Source : CNIL

En tant qu’utilisateur d’un CRM, vous êtes donc responsable, d’une part, des données transmises, mais d’autre part de la bonne exploitation de ces données par votre système CRM, en conformité avec le RPGD. Comme le cas où par exemple, si un internaute remplit un formulaire de votre site web, que les données collectées sont sauvegardées par le prestataire de votre site ou dans la base de données de votre CRM.

Source : Le guide CNIL pour accompagner les sous-traitants

Vérifier la conformité de votre CRM

L’éditeur, sous-traitant, de votre CRM doit :

  • prouver sa conformité par écrit, par le biais d’une clause de sous-traitance par exemple
  • garantir la sécurité et l’intégrité des données traitées
  • prouver la suppression ou anonymisation des données en cas de demande effective de votre part
  • vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez
  • tenir un registre des traitements effectués pour le compte de leurs clients

Dans Koban, vous disposez d’un ensemble de paramétrages afin de définir vos propres règles de traitement et de protection des données. Les paramétrages de Koban liés au traitement des données ne garantit en aucun cas que votre société est bien en conformité avec la loi. Vous êtes dans l’obligation de respecter les recommandations et obligations de la loi. Le paramétrage de Koban vous permet seulement de mettre en place les différents champs et mécanismes nécessaires au traitement de la donnée collectée au sein de votre logiciel. Le paramétrage doit être réalisé par vos soins.

Concrètement, votre CRM doit inclure la notion de protection des données dès la conception et vous donner la possibilité de vous conformer aux règles de protection des données personnelles que vous traitez.

Consulter la charte de sécurité et protection des données de Koban


Dans la même catégorie

europe-2021308_1280

[RGPD] La check-liste de mise en conformité du Marketing digital

Le 25 Mai arrive à grand pas, et avec lui le Règlement Général sur la Protection des Données. Le RGPD, c’est aussi l’opportunité de revoir sa manière de pratiquer un marketing digital plus responsable et en accord avec un respect des finalités d’usage des données personnelles de chacun. Il ne s’agira plus de récolter et …

Lire la suite
europe-2021308_1280

[RGPD] Sécurité de la donnée : check liste d’évaluation

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Et vous voilà donc désigné volontaire en tant que Correspondant Informatique et Libertés ou …

Lire la suite
Top