RGPD et sous traitance : comment vérifier que mon CRM est en conformité ?

Si vous pensez :

  • qu’il vous suffit de changer de CRM pour que vous soyez en conformité au RGPD
  • qu’il suffit que votre CRM soit conforme au RGPD pour que vous le soyez aussi

Vous avez FAUX. Sur toute la ligne.

Petite mise au point rapide (si vous avez manqué le début…) ! Le RGPD concerne toute entreprise qui collecte et traite des données personnelles, et ce, que ce soit automatisé ou non, que vous soyez en BtoB ou en BtoC.

Pour mémoire, le traitement de données personnelles est défini comme suit dans le RGPD :

«Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

Source : CNIL, la sécurité des données personnelles

En clair, vous et les moyens que vous utilisez pour la collecte et le traitement des données personnelles (dont votre CRM) devez être conformes au règlement européen. Donc votre entreprise ainsi que vos sous-traitants devez vous mettre en conformité. Car votre CRM, ou tout autre logiciel utilisé au sein de votre organisation, doit respecter certaines obligations en tant que sous-traitant.

Lire notre article : Faut-il changer de CRM pour être en conformité ?

Les obligations du sous-traitant

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données.

Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).

Source : CNIL

En tant qu’utilisateur d’un CRM, vous êtes donc responsable, d’une part, des données transmises, mais d’autre part de la bonne exploitation de ces données par votre système CRM, en conformité avec le RPGD. Comme le cas où par exemple, si un internaute remplit un formulaire de votre site web, que les données collectées sont sauvegardées par le prestataire de votre site ou dans la base de données de votre CRM.

Source : Le guide CNIL pour accompagner les sous-traitants

Vérifier la conformité de votre CRM

L’éditeur, sous-traitant, de votre CRM doit :

  • prouver sa conformité par écrit, par le biais d’une clause de sous-traitance par exemple
  • garantir la sécurité et l’intégrité des données traitées
  • prouver la suppression ou anonymisation des données en cas de demande effective de votre part
  • vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez
  • tenir un registre des traitements effectués pour le compte de leurs clients

Dans Koban, vous disposez d’un ensemble de paramétrages afin de définir vos propres règles de traitement et de protection des données. Les paramétrages de Koban liés au traitement des données ne garantit en aucun cas que votre société est bien en conformité avec la loi. Vous êtes dans l’obligation de respecter les recommandations et obligations de la loi. Le paramétrage de Koban vous permet seulement de mettre en place les différents champs et mécanismes nécessaires au traitement de la donnée collectée au sein de votre logiciel. Le paramétrage doit être réalisé par vos soins.

Concrètement, votre CRM doit inclure la notion de protection des données dès la conception et vous donner la possibilité de vous conformer aux règles de protection des données personnelles que vous traitez.

Consulter la charte de sécurité et protection des données de Koban


Dans la même catégorie

campagne-optin-1

Préparer une campagne email de Re-Optin de A à Z

Bref, la question de la mise en conformité passe nécessairement par une bonne mise à jour de votre base de données. Voici, en pratique, comment chez Koban nous avons opéré un bon nettoyage de printemps sur notre base. Bien entendu, chacun peut oeuvrer à sa manière mais cet article tente de répondre très concrètement à …

Lire la suite
europe-2021308_1280

Pourquoi 6 mois après sa mise en application vous n’êtes toujours pas en conformité avec le RGPD…

Notez que chez Koban, nous ne parlons pas RGPD tous les matins au café. Mais il nous a semblé important de faire une piqûre de rappel sur ce sujet pour plusieurs raisons. D’une part c’est un sujet d’intérê.

Lire la suite
Top