RGPD : menace ou opportunité pour les CRM ?

Si vous utilisez un CRM ou si vous êtes en réflexion sur le sujet, vous vous posez sans doute cette question. En effet, il semble à priori y avoir incompatibilité puisque le CRM vise à améliorer la relation client par une meilleure connaissance des comportements et attentes des clients, ce qui se fait par le recueil d'infos,  alors que le RGPD vise à protéger le citoyen contre toute exploitation de ses données personnelles.

Revenons à l’esprit de la Loi

Historiquement, le RGPD a vu le jour suite aux différents scandales qui ont vu Facebook et autres GAFA vendre des données personnelles à des organismes ou officines plus ou moins douteuses, à des fins politiques notamment. Les lanceurs d’alerte ont été déterminants dans l’adoption de ce texte qui harmonise la juridiction européenne dans ce domaine.

Les objectifs du RGPD sont doubles :

• Renforcer le droit des citoyens
• Protéger les données personnelles

Les entreprises sont-elles concernées ?

Oui, y compris les TPE/PME, dans la mesure où elles manipulent forcément des données personnelles avec leurs salariés, clients, fournisseurs, sous-traitants,…

La mise en conformité des entreprises avec le RGPD est obligatoire depuis Mai 2018. Des sanctions lourdes sont prévues en cas de non-conformité, mais la CNIL – organisme de contrôle pour la France – tient compte de la bonne foi des entreprises au vu des démarches engagées.

TPE/PME et RGPD : ce qu’il faut retenir

Comme évoqué ci-dessus, le RGPD n’interdit pas toutes relations ni exploitation de données personnelles, il impose « simplement » de demander l’accord préalable du client pour informer de l’utilisation qui sera faite de ces données d’une part, et de ses droits d'autre part :

• Droits d’accès : chaque utilisateur peut demander à l’entreprise l’accès à ses données personnelles
• Droit à l’oubli : il pourra à tout moment revenir sur son consentement qui a permis d’utiliser ses données personnelles
• Droit à la portabilité des données : chaque utilisateur pourra récupérer ses données pour les transférer chez un autre prestataire
• Droit à la notification : un utilisateur victime de fuites de données devra être informé dans les 72H
• Droit d’information : les utilisateurs doivent être informés de toute collecte de leurs données personnelles en donnant (ou pas) leur consentement explicite, et ont le droit de demander l’utilisation qui sera faite de leurs données.

CRM et RGPD : comment se mettre en conformité ?

Si vous utilisez un CRM,  il est donc important de vous mettre en conformité. Mais comment s'y prendre concrètement ?

1 - Recueil des données client

Vous l’avez compris, il est désormais nécessaire d’obtenir l’accord de votre client pour stocker ses données.

La clé de cette démarche s’appelle l’opt-in, qui peut être simple, double ou... « hybride » ! De votre choix, dépendra en partie la qualité de votre relation commerciale.

Opt-in VS opt-out

Retenez déjà ce petit « gimmick » :

• Opt-in : s’il n’a pas dit oui, c’est non. Mais il y a plusieurs types d’opt-in ;-(
• Opt-out : s’il n’a pas dit non, c’est oui !

L’Opt-in simple

La personne concernée signale explicitement qu’elle souhaite intégrer un programme marketing (abonnement à une newsletter, à un programme de fidélité). Cette action explicite prend généralement la forme d’une case à cocher à la suite d’un formulaire, ou d’un mail.

Pour que ce consentement soit valable il doit être libre, spécifique, éclairé, univoque, rétractable à tout moment.

Le RGPD impose aux entreprises de prouver la réalité de ce consentement et sa validité.

Le consentement via opt-in est clairement devenu un standard en matière de traitement de données personnelles et prospection électronique, en BtoB ou BtoC. L’opt-in est un moyen juridiquement sûr et relativement simple à mettre en œuvre.

L'Opt-in double

Bien que l’opt-in simple « suffise » pour être en règle, l’opt-in double est pratiqué par un nombre croissant de sociétés..

Le double opt-in consiste à donner une première fois son consentement (opt-in simple), via une case à cocher à la fin d’un formulaire par exemple. Ce consentement sera ensuite validé une seconde fois, le plus souvent par l'envoi d'un mail qui comprendra un lien sur lequel vous devrez cliquer.

Cette pratique a plusieurs intérêts.

• Elle permet de valider l’adresse mail renseignée et de s’assurer que c’est bien son ou sa propriétaire qui a fait la démarche
• Elle permet de vérifier que cette personne est réellement intéressée par le contenu ou l’offre proposée
• Enfin, elle permet de répondre à l’obligation de traçabilité du consentement du RGPD. 

En terme marketing, il faut noter que ce système génère des listes moins importantes mais plus qualitatives : le taux d’engagement en sera plus important.

Le double opt-in présente de nombreux avantages, mais il n’est pas obligatoire aujourd’hui vis-à-vis du RGPD. 

En savoir plus :

https://actecil.fr/2019/04/10/rgpd-marketing-opt-in-opt-out-double-opt-in-quand-les-utiliser/

2- Stockage des données

Le RGPG fixe également des règles concernant l'accès aux données personnelles stockées : qui y a accès, pourquoi faire, combien de temps.

Le pourquoi du comment

Toute entreprise doit en effet pouvoir dire pourquoi elle garde certaines données et quelles personnes de l'entreprise y ont accès : en résumé, si vous conservez la date de naissance de vos contacts, vous devez pouvoir le justifier en démontrant que cette information est utile à votre activité. De même, elle devra pouvoir préciser qui a accès à quoi : le commercial aura par exemple besoin de l’adresse mail et du téléphone portable de son contact, qui sont des données personnelles. Le Marketeur s’intéressera plus à la date de création du compte, au taux de retour d’un e-mailing,…

Le RGPD stipule que vous avez 1 mois maximum pour remettre au demandeur les données personnelles le concernant.

La durée de stockage des données est réglementée. Il faut savoir notamment que les coordonnées d’une personne avec qui vous n’avez pas eu de contact commercial depuis 3 ans doivent être supprimées de votre base de données.
De plus, si une personne vous demande de ne plus la contacter pour offrir vos services, il faut également supprimer entièrement ses données de vos listes.

Si toutefois vous ne voulez pas supprimer ces informations, vous avez l’obligation de créer un “archivage définitif” qui est un fichier à part, où vous mettez toutes les données qui devraient être effacées. Ce fichier ne doit être accessible qu’avec un mot de passe, connu uniquement du responsable des traitements (la plupart du temps le chef d’entreprise) afin d’empêcher quiconque d’aller lire et utiliser à nouveau ces informations.

Concernant la suppression des données il faut donc mettre en place dans le CRM des processus automatiques et/ou manuels.

Communication : les règles de segmentation

A partir du moment où un client a donné son consentement, il n’y a pas de soucis concernant la segmentation : vous êtes assez libre. Cependant, vous ne pourrez communiquer qu’avec ceux qui ont donné leur accord, c’est-à-dire ceux qui sont « Opt-in ».

Si une personne ne veut plus recevoir votre Newsletter, vous devez arrêter de lui envoyer cette communication. Si cette même personne ne souhaite plus recevoir aucune de vos communications, alors plus rien ne doit lui être adressé.

Cas particulier : l’intérêt légitime

Si le client a un contrat en cours avec vous, il est implicitement Opt-In ; il est donc possible de communiquer avec lui

• pour lui envoyer des informations relatives à son contrat (par exemple la date à laquelle son contrat se termine).
• pour toute question impliquant des mesures de sécurité.

Par contre, vous ne pourrez envoyer une communication pour renouvellement du contrat, car elle serait alors considérée comme une démarche commerciale.

Cas pratique du CRM HubSpot

Le CRM HubSpot étant un outil international, le RGPD ne s'applique pas à toutes les entreprises.
Si vous êtes concernés, sachez qu'une option est présente dans l'administration qui permet d'activer un grand nombre d'outils de mise en conformité. Une fois activée et configurée, votre site respectera les dispositions de la loi RGPD. Simple, non ?

Voici ce que cette option mettra en place :

Informations du client

Un bandeau d'informations cookies est généré automatiquement grâce à HubSpot. Vous pouvez modifier les contenus du bandeau dans l'administration.

De plus, un texte s'ajoute aux formulaires (sur votre site, votre blog, etc... ) pour avertir l'utilisateur que ses données seront stockées et utilisées à des fins prospections et suivi marketing. Vous avez bien sûr la main sur ces textes.

Stockage des données

Chaque contact de votre CRM est lié à une "base juridique" expliquant sa présence dans votre CRM.

Vous pourrez à tout moment exporter les informations personnelles récoltées sur un contact. Les fichiers d'export utilisent des formats standards afin d'être réimporter dans d'autres outils de gestion.

Gérer vos contacts avec HubSpot 

Gestion des abonnements

Vos contacts ont accès à la liste de leurs abonnements. Ils peuvent s'inscrire ou se désinscrire des listes d'abonnements que vous proposez.
Lors d'un envoi de newsletter depuis HubSpot, seuls les utilisateurs inscrits recevront vos contenus.

Suppression des contacts inactifs

Vous pourrez très facilement supprimer (d'un simple clic) les contacts avec lesquels vous n'avez plus de relation depuis 3 ans grâce aux filtres ou alertes automatisées.

Transformer le RGPD en opportunité

A plus de 80 % Les Européens s'accordent à dire que les lois sur la protection des données, et notamment le RGPD, sont favorables aux consommateurs.
Source : Enquête de HubSpot sur le RGPD, 3e trimestre 2017

Les consommateurs européens font confiance aux entreprises transparentes

HubSpot est un outil idéal pour les TPE et les PME. Il dispose de nombreuses fonctionnalités pour vous accompagner dans l’organisation et la gestion de votre entreprise : CRM, rédaction d’e-mails, suivi de transactions...