Relation Client et RGPD : l’exception française en matière de sécurité des données
La France est championne d’Europe en matière d’amendes RGPD (Règlement général sur la protection des données). Alors que les sanctions pleuvent, les marques redoublent de vigilance pour assurer leur conformité. Au-delà des obligations réglementaires qui vous imputent, la RGPD implique de s’assurer que l’éditeur qui se cache derrière votre solution de gestion de la relation client respecte lui-même les exigences de conformité.
Le cadre juridique international est agité sur le sujet. Il est particulièrement nébuleux concernant les échanges transatlantiques, quand bien même les éditeurs de logiciels de help desk sont nombreux sur le sol américain. Cette situation donne l’avantage aux solutions 100% françaises, qui offrent des garanties inégalées en matière de sécurité des données.
1. Le lien entre les exigences RGPD et votre logiciel de gestion de la relation client
A. Au-delà des responsabilités de la marque, l’extension du périmètre de gestion des données
Dès lors que vous êtes amené·e·s à manipuler des données personnelles de citoyens de l’Union Européenne (UE), il est de votre ressort de garantir que leur traitement respecte la réglementation RGPD, sous peine d’être exposé·e·s à des sanctions.
“Sécurité des données, pertinence des données collectées, durée de conservation des données sont les trois principales sources de non-conformité au RGPD et de sanctions de la CNIL” rappelle Le Monde Informatique.
L’utilisation d’un logiciel de gestion de la relation client mis à disposition par un éditeur implique une sortie des données en dehors de votre périmètre de contrôle. Même si votre processus de mise en conformité est impeccable, vous vous en remettez à un tiers sous-traitant qui dispose de ses propres garanties de conformité.
Passer au crible les mesures de protection offertes par votre éditeur partenaire est donc essentiel.
B. Quelles responsabilités RGPD pour votre éditeur de solution de relation client ?
En tant que sous-traitant, votre éditeur est tenu de “présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement soit conforme au règlement européen”.
Cela implique une prise en compte de la protection des données à différents niveaux :
- d’un point de vue contractuel (clauses de sous-traitance),
- au niveau de la conception logicielle (privacy by design, privacy by default),
- dans la documentation (tenue d’un registre des activités de traitement, notification de violations des données, etc.).
- en matière de sécurité des données (garantir un très haut niveau de confidentialité et d’accessibilité des données clients, du stockage au traitement)
Une partie de ces engagements appartient à chaque éditeur. Concernant la sécurité, le champ d’action des éditeurs est limité par le cadre juridique, qui donne l’avantage aux éditeurs français et européens.
C. Souveraineté numérique : un enjeu culturel, politique et économique
Les exigences en matière de RGPD illustrent la volonté européenne de construire une souveraineté forte notamment pour rester dans la course mondiale des technologies numériques.
Elle est d’autant plus affichée en France, fortement attachée au concept de souveraineté numérique et qui affirme régulièrement ses positions dans le débat politique mondial. Dès 1978, la loi Informatique et Liberté encadrait déjà la protection des données personnelles. Le RGPD étend en partie et harmonise les règles au niveau européen.
La notion de protection des données personnelles est moins présente dans la culture des éditeurs non européens et notamment américains, dont le modèle économique est davantage porté sur la monétisation des données.
2. Sécurité des données : la question de l’hébergement
A. Vérifier où sont hébergées les données de votre éditeur
Logiciel de help desk, CRM, marketing automation… la majorité des éditeurs passent par des hébergeurs pour disposer d’une infrastructure fiable et sécurisée dans le Cloud. Tout hébergeur qui récolte des données de résidents de l’Union Européenne doit se conformer au RGPD, qu’il soit ou non lui-même localisé dans l’UE.
La capacité à démontrer cette conformité se joue à à différents niveaux, dont notamment :
- l’accès sécurisé à la plateforme sur leur serveurs,
- la traçabilité des données collectées,
- un haut niveau de confidentialité des données clients,
- l’existence d’une procédure de sauvegarde et recouvrement des données.
Pour les entreprises clientes d’un logiciel de relation client, l’objectif est d’assurer aux bénéficiaires finaux (clients, consommateurs, citoyens) une sécurité optimale de leurs données. La Gendarmerie Nationale et la Police Nationale ont ainsi fait appel à easiware pour l’ouverture de leur canal chat, sous réserve de pouvoir garantir de hautes exigences de sécurité.
Ces entités peuvent ainsi garantir à leurs usagers une totale confidentialité, avec notamment un nettoyage régulier des données (personnelles, judiciaires, etc.) effectué via la solution.
B. Être hébergé en France, un gage de sécurité
Après les scandales entourant la protection des données qui ont marqué les esprits (révélations d’Edward Snowden, Cambridge Analytica, etc.), la promulgation du Cloud Act en 2018 est à la fois une nouvelle source d’inquiétude pour les éditeurs, et un véritable axe de réassurance pour les entreprises qui se positionnent en garant des données personnelles de leurs clients.
Cette loi étend l’accès des Etats-Unis aux données stockées à l’étranger par les hébergeurs américains ou bien présents aux Etats-Unis, quelle que soit la localisation géographique de leur serveurs. Pour les marques, il devient plus difficile de s’assurer que la sécurité des données est conforme aux exigences RGPD chez leurs prestataires. Des garanties supplémentaires sont à prévoir, mais celles-ci ne sont pas toujours faciles à mettre en œuvre, et donc à obtenir côté marque.
En tant que marque, s’assurer que son éditeur passe par un “cloud souverain”, un hébergeur de nationalité française déclaré conforme au RGPD et uniquement présent en France (ou bien par une société de l’UE sans présence aux Etats-Unis) est donc le meilleur gage de sécurité pour ses clients.
3. Protection des données : la question du transfert
A. Considérer la chaîne de sous-traitance dans son ensemble
La plupart des solutions logicielles de gestion de la relation client intègrent des logiciels et services exploités par des entreprises tierces : solutions e-commerce et marketing, solutions de téléphonie, messaging et selfcare, etc. C’est le cas d’easiware, qui s’appuie sur un écosystème élargi pour permettre à ses clients de tirer un maximum de valeur des données client.
Ces intégrations ouvrent la possibilité que les données soient transférées, et pose la question de leur manipulation. Où transitent les données de vos clients ? Qui intervient dans leur manipulation ?
En tant que marque, la capacité de votre éditeur à documenter sa conformité dans ce domaine et à faire valoir la qualité de ses partenariats technologiques sont des points d’attention à avoir.
B. S’affranchir du casse-tête associé au transfert des données hors UE
La CNIL demande aux responsables de traitement et les sous-traitants d’encadrer les transferts de données hors de l’Union Européenne par des outils juridiques afin de garantir la protection des données. Ces mécanismes sont difficiles à assurer dans un contexte multi-acteurs
L’arrêt Schrems promulgué en juillet 2020 renforce cette obligation : les éditeurs qui intègrent des services et logiciels exploités par des entreprises basées aux Etats-Unis ne sont désormais plus protégés par l’autorisation de transfert des données personnelles autrefois en vigueur (le Privacy Shield).
Cet arrêt introduit une nouvelle zone grise pour les marques clientes d’éditeur extra-européens, contraintes de réviser leurs Clauses Contractuelles Types (CTT) et de mettre en œuvre de nouvelles mesures de sécurité de traitement. Cela n’est pas sans soulever de nombreuses interrogations, pour les marques elles-mêmes comme pour leurs prestataires éditeurs qui se doivent de fournir un niveau de garanties adéquate.
Les points d’attention à retenir pour votre processus de sélection de logiciel de relation client
- Le niveau d’engagement fourni par l’éditeur : a-t-il documenté ses actions pour garantir la protection et la sécurité des données ? Le contrat est-il au niveau ? (CGU, clauses contractuelles, etc.)
- Les fonctionnalités du logiciel : vous permettent-elles de maîtriser l’utilisation des données pour qu’elles soient conformes au RGPD ? (durée de conservation, nettoyage, etc.)
- Hébergement : Les données exploitées au sein de votre help desk sont-elles hébergées en France ou en Europe ? A défaut, sont-elles encadrées par des garanties de sécurité supplémentaires suffisantes ?
- Transfert et traitement : Quel écosystème applicatif compose votre solution ? En cas d’intervention d’une société extra-européenne, l’encadrement des transferts de données est-il encadré par les bonnes CTT et des mesures de sécurité adéquates ?
Avoir en tête ces points de vigilance lors de vos discussions avec un éditeur doit avant tout vous permettre de trouver le bon équilibre entre ces nouvelles exigences de sécurité et vos impératifs de performance et d’efficacité. Le propre d’une solution de gestion de la relation client est d’apporter plus de fluidité à votre activité : cela ne doit pas être sacrifié.
En tant qu’acteur engagé sur les questions de conformité RGPD, easiware garantit à ses clients un haut niveau de sécurité et de protection des données, avec des experts mobilisés en continu sur ce sujet.