RGPD : comment mettre son CRM en conformité ?
Alors que le règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai, les pratiques liées au CRM risquent d'être amenées à évoluer. Lors du Salon E-Marketing Paris, Olivier Barbey, du cabinet de conseil HSK Partners, a donné quelques pistes pour se mettre aux normes.
"Si vous vous conformiez déjà aux recommandations de la CNIL, vous n'aurez pas de problème. En revanche, si vous ne les respectiez pas, cela va être compliqué". C'est ce qu'explique Olivier Barbey, directeur associé chez HSK Partners. Le règlement général sur la protection des données (RGPD), règlement européen qui doit entrer en vigueur dans toute l'Union Européenne le 25 mai et doit donner lieu à une prochaine loi française, qui obligera les entreprises à obtenir le consentement explicite de toutes les personnes sur lesquelles elles recueillent des données. Les pratiques autour du CRM peuvent donc être amenées à évoluer.
Quelles pratiques adopter ?
Concrètement, tous les contacts d'une entreprise, et donc notamment les prospects et les clients, BtoC comme BtoB, doivent être informés que l'entreprise souhaite recueillir des données, et l'entreprise doit expliquer à quelles fins précises (prospection commerciale, personnalisation de suggestions d'achats...) elle les recueille, pour que les personnes décident si elles donnent ou non leur accord à ces pratiques. Pour s'assurer que le CRM est en conformité avec la réglementation européenne, les entreprises peuvent suivre plusieurs étapes.
Réaliser un audit des données
La cartographie de toutes les données détenues par l'entreprise est un prérequis indispensable mais pas systématiquement mis en place par les entreprises. "Suite à la mise en place du RGPD, toute entreprise doit être capable de supprimer toutes les informations d'un seul coup, mais aussi de garantir leur portabilité vers une autre entreprise, indique Olivier Barbey. Si elles sont éclatées entre plusieurs services, c'est très compliqué". Il est donc d'autant plus nécessaire de casser les silos entre les services, pour que les commerciaux n'aient pas des informations qui ne soient pas connues du reste de l'entreprise, alors que le client a demandé l'effacement de ses données. Il faut également en profiter pour normer toutes ses données et tendre vers un référentiel unique, afin de garantir un meilleur traitement des données.
Mettre son CRM aux normes
L'audit doit ensuite conduire à vérifier que l'ensemble des données ont été recueillies en respectant les indications du RGPD. C'est notamment l'occasion de recouper ses bases avec les diverses listes d'opposition existantes : Robinson pour le courrier postal, Bloctel pour le téléphone, les listes de désabonnement interne... afin de s'assurer que ses contacts sont favorables à la gestion de leurs données personnelles.
Le consentement pour du démarchage téléphonique n'autorise pas les campagnes par SMS
Si le principe est clair, le flou subsiste sur certains sujets. "Certains députés ont déposé un amendement demandant à rendre obligatoire l'opt-in dans les contacts téléphoniques", explique Olivier Barbey : si l'amendement est voté, les entreprises devraient alors s'assurer que les prospects acceptent d'être démarchés avant d'organiser une campagne de prospection téléphonique. De la même façon, selon Olivier Barbey, les mails professionnels et les lignes directes pourraient être considérées comme des données personnelles, "ce qui amènerait tous les éditeurs de données BtoB à organiser une grosse campagne d'optimisation", mais cela n'est pour l'instant qu'une interprétation du règlement. En tous les cas, assure-t-il, le consentement doit vraiment se faire canal par canal : "Ce n'est pas parce que le prospect a donné son accord pour être démarché par téléphone que l'on peut lui envoyer des campagnes par SMS".
La CNIL assure en tous cas que le RGPD ne change pas les règles de prospection par courrier électronique déjà en vigueur en France : les cibles BtoC doivent déjà, en principe, donner leur accord préalable à la réception de messages commerciaux, les cibles BtoB doivent être informées que la collecte de leur adresse de messagerie servira à de la prospection commerciale, et pouvoir s'opposer à cette utilisation de manière simple et gratuite.
Quid de la rétroactivité ?
"Peut-on garder les informations recueillies avant le 25 mai, date d'entrée en vigueur du règlement, ou faut-il redemander le consentement de tous ses prospects ?", se demande l'expert. Si une certaine incertitude subsiste, de ce qu'il ressort des discussions avec la salle, il semble qu'une entreprise puisse conserver dans son CRM les contacts, à partir du moment où elle est en mesure de prouver à quel moment et comment elle a recueilli son consentement.
Une prospection RGPD compatible
Dans tous les cas, pour l'expert, la mise en conformité au RGPD est l'occasion de se poser des questions sur ses pratiques. "Peut-être n'ai-je pas besoin de 150 informations sur un prospect, peut-être est-il plus efficace d'avoir cinq ou six informations bien ciblées qui ont une réelle valeur". Et ce d'autant plus qu'avec les efforts déployés pour s'assurer du consentement des cibles, les bases de données externes risquent de voir leur prix augmenter. "Il va donc falloir revenir à notre coeur de métier : le ciblage, qui s'est un peu perdu".
Le RGPD, l'opportunité d'un nouveau contrat de confiance
L'arrivée du RGPD est aussi l'occasion de réfléchir à la gestion de sa prospection commerciale dans son ensemble : en effet, certains services de messagerie peuvent bloquer les adresses IP d'expéditeurs quand ceux-ci sont identifiés comme des SPAM par un certain nombre d'usagers, ou quand aucun de leurs mails n'est ouvert durant une certaine période. Autant de signaux qui doivent être analysés et traités afin de tenir à jour sa liste de stop email.
Lire aussi : Comment l'IA fait décoller les processus métiers
C'est dans cette optique que le RGPD peut aider les entreprises. "Pour moi, il ne faut pas voir le RGPD comme un risque, mais comme une opportunité d'un retour du contrat de confiance. Il faut que le client pense que l'information qu'on lui envoie est légitime et légale. En fait, il faut reprendre les basiques : le bon message, à la bonne personne, au bon moment".
En complément
RGPD, pourquoi cela concerne aussi les commerciaux
Dossier RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
Bases de données client B to B et RGPD: les nouveaux risques
RGPD : Comment les marques se mettent en conformité
Protection des données, cybersécurité: 5 recommandations de la Cnil
RGPD: zoom sur le consentement préalable
Seules 6 % des marques sont en parfaite conformité avec le RGPD
Sur le même thème
Voir tous les articles Réglementation