Starter ? Découvrez comment exploiter votre fichier clients en respectant le RGPD

Mais d’abord, à qui s’applique le RGPD ? À toutes les entreprises, petites ou grandes, qui déploient des activités en Europe et qui traitent des données personnelles de citoyens européens. Cette directive s’applique, sans s’y limiter, aux données que vous intégrez à votre fichier clients. Découvrez maintenant 11 éléments à ne pas négliger pour recueillir et exploiter de précieuses informations en toute légalité. Toutes ces informations sont d’autant plus importantes si vous venez de lancer votre entreprise et vous vous devez de les avoir à l’esprit avant de démarrer vos activités.

1. Quelles données confidentielles renferme votre fichier clients ?

En vertu du Règlement général de protection des données, sont considérés comme informations personnelles : les noms, numéros de téléphone, adresses e-mail, dates de naissance, adresses IP, ID d’un appareil mobile et même les données cryptées. Des données dites pseudonymes, qui permettent d’isoler des comportements et champs d’intérêt, aussi.

Attention, en outre, lorsque vous prenez des notes d’abord destinées à alimenter la conversation, comme les hobbies et centres d’intérêt de vos contacts: le fait que telle personne possède un chien et aime faire de la randonnée représente des données à caractère personnel lorsqu’elles sont rattachées à une personne qui peut être identifiée.

2. Répertoriez toutes vos données et l’objectif derrière leur collecte

La première étape à suivre, lorsque vous établissez et exploitez un fichier clients, est de recenser précisément quelles données votre organisation détient ou collecte. Vous devez, surtout, vous demander quels sont les objectifs précis derrière la collecte de ces données. Pour ce faire, nommez un responsable du fichier clients au sein de votre service commercial. Celui-ci déterminera, pour chaque traitement de données, sa finalité et la pertinence des données récoltées.

Si vous êtes un starter et que vous n’avez pas encore un service commercial, voici quelques conseils pour gérer vous-même votre fichier client. Pour dresser un portrait global des données à caractère personnel que vous collectez et vous soumettre aux exigences du RGPD, établissez une fiche contenant les informations suivantes : pour chaque type de données recueillies par votre entreprise, indiquez quel usage (collecte, enregistrement, transfert, par exemple) vous en faites et dans quels objectifs. C’est votre base de travail.

3. Déterminez quelles finalités pour quelles données

Avec le RGPD, finies les données de client ou de prospects collectées « au cas où » et accumulées pour une future campagne de mailing de prospection. Vous pensez qu’elles pourraient s’avérer utiles plus tard  ? Malheureusement, le RGPD a serré la vis. Pour vous conformer avec la directive européenne, le motif doit être valable et précis dès la phase de collecte de données. Par conséquent, vous devez indiquer clairement comment vous utilisez les données de vos contacts dans votre déclaration de protection de la vie privée. Quelques exemples d’utilisation de données : envoi d’une newsletter, publicité ciblée, mesurer la fréquentation de votre site.

Vous serez autorisé à faire usage des données pertinentes uniquement dans le cadre de cette finalité. C’est pourquoi il est nécessaire de répertorier ces informations : dans quel but votre entreprise dispose-t-elle d’une donnée ? Quel avantage concurrentiel vous octroient-elle réellement ? Quel fondement juridique vous permet de les traiter ? Alors, vous devez réfléchir à ces questions avant même de lancer le site Web de votre entreprise, lors de sa phase de lancement. C’est devenu primordial.

4. Votre logiciel CRM doit aussi respecter la directive européenne

En fonction de votre stratégie d’acquisition de client, vous utilisez sans doute un logiciel CRM. Votre utilisation de ce système de gestion de la relation client, à la base de toutes vos opérations marketing, doit également se faire en conformité avec la loi européenne sur la protection des données à caractère personnel.

Sa conformité doit être avérée à toutes les étapes de votre cheminement commercial: autant lors de votre prospection que lors de vos campagnes marketing et du stockage des données. Votre logiciel CRM, en fait, vous permet de garantir le respect total de la vie privée et de gérer les consentements et les accès personnalisés à ces informations. Un tel logiciel est donc un « must have » dès les premiers pas de votre entreprise. Encore faut-il choisir le logiciel adéquat.

Pour choisir un logiciel CRM conforme, vous pourriez faire appel à un délégué à la protection des données (DPO). Grâce à une telle expertise, faire le bon choix sera plus facile. Cela étant dit, quels CRM sont compatibles RGPD ? Le CRM américain Salesforce, le français Sellsy ou encore le belge Simple CRM sont autant d’exemples de logiciel conformes à la réglementation européenne.

La mise en conformité de vos outils de relation client agit directement sur la performance de vos actions marketing. Pour travailler efficacement et maîtriser tous vos processus au début de votre carrière d’entrepreneur, vous avez besoin en premier lieu d’une base solide.

5. Obtenez le consentement explicite des personnes dont vous collectez les données

L’application de ce règlement ne vise pas à vous donner de sérieux maux de tête à chaque fois que vous envoyez un e-mail professionnel. Le RGPD a plutôt pour objectif de permettre à vos prospects de donner leur consentement avant toute collecte d’informations les concernant. Rappelez-vous qu’en respectant les exigences du règlement général de protection des données, vous inspirez confiance auprès de vos clients et partenaires et vous faites preuve de transparence. Et quoi de mieux que de nouer une relation de confiance avec vos clients dès le début de vos activités ?

Toutes les personnes dont vous collectez des données doivent vous donner leur consentement éclairé vous permettant d’utiliser ces données. Vous ne pouvez pas, par conséquent, demander une autorisation générale. Les personnes doivent savoir pourquoi vous collectez ces données et ce que vous en faites. Le RGPD exige que vos clients soient avisés de l’utilisation de leurs données personnelles de manière claire, simple et distincte. La technique du opt-out, la petite case déjà cochée au bas d’un formulaire en ligne, est désormais interdite depuis l’application du RGPD en Europe.

Pour documenter efficacement l’obtention du consentement de vos contacts, une déclaration écrite, par le biais d’un formulaire d’inscription, par exemple, s’avère la solution privilégiée par la plupart des entreprises. En définitive, rédigez vos formulaires, pages de conditions générales et conditions d’affiliation avec précision et en toute conformité avec les processus de traitement des données mis en place dans votre organisation. C’est désormais la première chose à faire lors de la création d’un site Web et de votre entreprise.

6. Comment documenter les données et les consentements obtenus par téléphone ?

Peut-être que vous n’envisagez pas de créer un site Web pour votre nouvelle entreprise. Cela dit, la RGPD vous concerne tout de même. En effet, lorsque vous pensez au RGPD, vous pensez sûrement d’abord à un site web qui collecte des témoins (cookies) ou à la newsletter mensuelle envoyée à une liste d’abonnés. Par contre, si votre jeune société mène des activités principalement par téléphone, qu’en est-il ? Oui, les directives européennes vous concernent aussi.

Même oralement, vous devez documenter et être en mesure de prouver que vous avez obtenu un consentement explicite avant de collecter les données à caractère privé des personnes. Par conséquent, si vous avez obtenu le consentement lors d’une communication téléphonique, vous devez enregistrer l’appel lors duquel le consentement a été donné et l’intégrer à votre base de données clients.

7. Acheter ou louer un fichier de prospection: les règles s’appliquent aussi

Acheter ou louer un fichier clients représente une façon d’étoffer vos contacts et un moyen efficace de faire de la prospection et donc une excellente façon de bien démarrer vos activités professionnelles. Mais que vous collectiez vous-même les données personnelles de vos clients ou que vous obteniez des informations personnelles en faisant l’achat d’un fichier clients, les règles sont les mêmes. Si les personnes n’ont pas consenti explicitement à ce que leurs données soient transférées dans votre base de données client à vous, vous devez obtenir leur consentement explicite.

8. Pour stocker les données dans le cloud en toute conformité

La réglementation s’applique non seulement à une entreprise, comme la vôtre, qui collecte et enregistre des données, mais aussi à vos sous-traitants et fournisseurs impliqués dans le traitement et le stockage des données. Autrement dit, les sous-traitants avec lesquels vous faites affaire doivent eux aussi se soumettre au RGPD.

Vous stockez vos données dans le cloud ? Cette méthode comporte de nombreux avantages indéniables, comme le fait réaliser des sauvegardes automatiques et d’être en mesure de récupérer des données. Mais cela ne veut pas dire que la responsabilité liée à la protection des données personnelles qui y sont stockées incombe seulement au fournisseur du cloud. En principe, il est interdit de déposer les données personnelles dans un cloud dont le serveur n’est pas situé en Europe. Vous devez donc vous assurer que votre prestataire se soumet aux directives européennes. Celui-ci doit fournir des garanties équivalentes au RGPD.

9. Pour sécuriser vos données, protégez vos données par chiffrement

L’application du RGPD, en pratique, a pour conséquence d’imposer une gestion étroite des données. Pour ce faire, aucune technique, que ce soit l’anonymisation ou le chiffrement des données, n’est imposée par le RGPD. Mais le chiffrement, plus répandu, s’est imposé comme standard dans la plupart des technologies de stockage et de transfert de données, par son caractère réversible. De plus, une éventuelle fuite de données aura moins d’impact. En effet, le chiffrement est un processus réversible de transformation de vos données. Les données sont illisibles, mais leur déchiffrement est uniquement possible aux détenteurs de la clé de chiffrement.

10. Les délais de conservation des données de votre fichier clients-prospects

Votre équipe commerciale, ou vous-même si vous n’en disposez pas encore, a enrichi votre fichier client, et, en parallèle, établi une liste de cibles ou prospects. Au fait, combien de temps pouvez-vous conserver ces différentes données ? Certes, les délais de conservation légaux des documents de votre organisation continuent de s’appliquer depuis la mise en vigueur du RGPD.

En ce qui concerne les données personnelles comme celles qui sont intégrées à un fichier clients, le principe à suivre est le suivant: vous ne pouvez pas conserver les données personnelles plus longtemps que le temps nécessaire pour réaliser l’objectif à la base de la collecte de ces données.

Dans le cas du fichier clients-prospects, la durée de conservation qui est autorisée est celle nécessaire à la gestion de la relation commerciale. Voici quelques chiffres à retenir :

• Vous devriez supprimer les données personnelles des prospects inactifs au bout de trois ans. Pour vous conformer au principe de droit à l’oubli, vous avez deux possibilités. Idéalement, vous devriez placer ces données dans une seconde base de données, appelée liste d’exclusion ou d’opposition, afin de garder la trace des personnes que vous ne devez plus solliciter. Deuxièmement, vous pouvez anonymiser ces données afin de les conserver à des fins statistiques.
• Un client fait jouer son droit à l’oubli ? Vous êtes tenu(e) de rectifier, effacer ou restituer ses données personnelles endéans 1 mois. Les personnes dont vous détenez les données personnelles ont le droit de demander une copie de leurs données ou de vous demander de les corriger ou de les supprimer. Pour reprendre les termes légaux, toute personne a droit d’accès, de modification et de suppression de ses données personnelles.
• Au-delà de ces délais, que faites-vous des données à caractère personnel ? Vous devez les archiver, les supprimer ou les soumettre à un processus d’anonymisation. Il sera par conséquent impossible d’identifier à nouveau ces personnes. Les données anonymisées peuvent éventuellement être conservées librement et ont alors valeur de statistiques.

Vous ne comptez pas encore sur les talents d’un commercial ? Néanmoins, vous êtes motivé(e) à attirer de nouveaux clients ? Lisez ici nos conseils pour réussir votre prospection de clients par téléphone.

11. Que devez-vous faire en cas de piratage ou de fuite des données ?

Lorsque vous établissez le registre des traitements des données personnelles, il convient, par le fait même, d’évaluer les risques et dangers pour les personnes dont vous détenez les informations. Qu’adviendra-t-il en cas de vol, de perte de confidentialité, d’altération ou de suppression ? Déterminez quelles mesures de protection seront mises en place, c’est une manière de plus de créer une relation de confiance avec vos premiers clients. D’une part, cela passe par une sécurité informatique solide. D’autre part, par la mise en place d’une politique de gestion de l’information.

Mais surtout, en cas de vol de données ou d’un incident majeur, vous êtes soumis à une obligation de notification. Vous devez obligatoirement informer l’Autorité de protection des données à l’aide de leur formulaire de notification de fuite de données en ligne. Les personnes concernées doivent également être notifiées de la fuite si l’incident constitue un risque élevé pour le respect de leur vie privée.

Enfin, avec cet article, nous souhaitons vous donner des sources d’informations fiables, mais qui ne peuvent évidemment pas se suppléer aux conseils d’un avocat et à la mission de l’Autorité de protection des données. Par conséquent, si vous avez des questions au sujet de la conformité de votre entreprise au règlement général sur la protection des données (RGPD), rien ne vaut les conseils de votre avocat et les services d’un consultant RGPD. En outre, vous pouvez consulter le texte de loi officiel.