Respectez le RGPD grâce à Zoho CRM

La simple protection des données personnelles d'un client n'est pas suffisante. Le RGPD exige que votre traitement de ses données personnelles soit transparent et sécurisé. Recueillez et traitez les données conformément au RGPD à l'aide de Zoho CRM.

Voici comment nous pouvons vous aider

  • Suivez les sources de données et activez la double confirmation
  • Obtenez et gérez le consentement
  • Chiffrez et sécurisez les données personnelles
  • Traitez facilement les demandes de la personne concernée
  • Contrôlez les informations partagées avec d'autres applications

Collecte des données

Gardez une trace des sources de données de votre client et confirmez l'intérêt de votre client pour votre service avant de commencer le traitement de ses informations.

Suivi de la source de données

Gardez une trace des sources multiples de données client (formulaires Web, importations, création manuelle, API ou intégrations tierces) dans les détails du dossier du client. S'agissant des formulaires Web, des détails supplémentaires comme le nom du formulaire et l'adresse IP seront enregistrés.

Double confirmation

Traitement des données

Garantissez un traitement légal et sécurisé des données personnelles de votre client. Assumez vos responsabilités en documentant les activités de traitement effectuées à partir des données d'un client.

Base de traitement de données

Identifiez, classez et marquez les clients en fonction de l'une des six bases légales pour le traitement des données : intérêt légitime, consentement, exécution d'un contrat, obligations légales, intérêt vital, intérêts publics.

Formulaire de consentement

Selon le type de client et les informations personnelles en cours de traitement, vous devez demander leur consentement. Obtenez facilement le consentement par le biais d'un formulaire personnalisable que vous pouvez envoyer par e-mail à vos clients.

Marquage des champs personnels

Marquez les champs qui contiennent des informations personnelles et déterminez si les informations sont sensibles ou non. En fonction des préférences des paramètres de conformité, vous pouvez restreindre le traitement des informations provenant de ces champs lors des exportations, des API et des services connectés.

Chiffrement au repos (EAR)

Zoho CRM utilise l'un des chiffrements les plus puissants et les plus robustes (AES, Advanced Encryption Standard) pour chiffrer vos données sensibles. En plus de protéger les données en transit, Zoho CRM sécurise les données stockées dans les serveurs à l'aide de la norme de chiffrement AES-256 pour assurer l'anonymat des informations du client en cas de fuite ou d'infraction.

Journaux d'audit

Surveillez les activités de votre équipe avec des journaux d'audit, afin de savoir qui a fait quoi et quand. Par exemple, toutes les actions effectuées par vos utilisateurs en matière de suppression et de modifications d'enregistrements sont vérifiées.

Passez vos données de vente au crible à l'aide de rapports personnalisables

Les rapports en temps réel vous donnent un aperçu des tendances de vente, des campagnes marketing, des rapports d'activité et des performances des équipes.

Accès (droit d'accès)

Laissez vos clients accéder à leurs données via le portail client. Autrement, indiquez-leur qu'ils peuvent y accéder en leur envoyant un e-mail que vous pouvez créer en insérant les champs fusionnés requis dans un modèle.

Rectifier (droit de rectification)

Exportez les informations des clients avec facilité, envoyez-les-leur pour rectification et mettez-les à jour dans CRM. Si les clients ont accès au portail client, ils peuvent y visualiser leurs informations et les mettre à jour eux-mêmes, le cas échéant.

Exporter (droit à la portabilité des données)

Exportez les informations d'un client dans un fichier CSV, directement joint à un e-mail avant d'être envoyé au client. Cette exportation garantit qu'aucune information n'est stockée sur des périphériques externes.

Arrêter le processus (droit de restriction du traitement)

Lorsque ce droit est exercé, le dossier du client est automatiquement verrouillé pour empêcher tout autre traitement des informations.

Effacer (droit à l'oubli)

Vous pouvez facilement supprimer les informations d'un client de Zoho CRM lorsqu'un « droit à l'oubli » est demandé. Une fois supprimé, le dossier sera déplacé vers la liste de blocage pour que les utilisateurs soient avertis si le même dossier est envoyé à nouveau dans le système.

Questions fréquemment posées

1. Qu'est-ce que le RGPD et quel sera son impact sur les organisations ?
Le Règlement général sur la protection des données (ou RGPD) est un nouveau règlement élaboré par l'Union européenne (UE) qui comprend la protection et la libre circulation des données personnelles, ainsi que les droits des individus (y compris ceux des enfants). C'est un ensemble de règles qui remplacent l'ancienne Directive de protection des données (Directive 95/46/CE) et s'appliquent dans toute l'UE. Le RGPD permet de donner directement aux résidents de l'UE le contrôle du traitement de leurs données et protège la confidentialité de leurs données.
2. À qui le RGPD s'applique-t-il ?
Le RGPD s'applique aux entreprises situées dans l'UE, ainsi qu'à celles qui font affaire avec des résidents de l'UE, quel que soit l'endroit où elles sont basées.
3. À quel genre de données le RGPD s'applique-t-il ?
Le RGPD s'applique exclusivement aux données personnelles. Les données personnelles sont considérées comme « toute information qui se rapporte à une personne identifiée ou identifiable, ou à une personne concernée ». Sont inclus le nom, l'adresse e-mail, l'emplacement et d'autres identificateurs en ligne de la personne concernée (du client), tels que l'adresse IP, le profil sur les réseaux sociaux et les types de cookies de site Web.
4. Le respect du RGPD est-il applicable à tous les modules dans Zoho CRM ?
La conformité au RGPD est uniquement applicable aux modules liés aux personnes dans l'organisation. Dans Zoho CRM, le RGPD s'applique aux modules leads, contacts, fournisseurs et modules personnalisés.
5. Qui sont les principales parties prenantes dans le RGPD ?
  • Personne concernée- Toute personne dont vous recueillez ou traitez les données personnelles.
  • Responsable du traitement- La personne qui détermine l'objectif et les méthodes de traitement des données.
  • Responsables conjoints du traitement- Deux ou plusieurs responsables du traitement qui déterminent conjointement les objectifs et les méthodes de traitement des données.
  • Sous-traitant des données- La personne ou l'entreprise qui traite les données au nom du responsable.
  • Sous-traitant de second degré des données- Un particulier ou une entreprise qui effectue le traitement des données pour d'autres entreprises et qui doit rendre compte du traitement des données.
  • Autorités de contrôle- Les autorités publiques chargées de contrôler l'application du RGPD.
6. Quelles sont les bases légales que le responsable du traitement peut utiliser pour traiter les données du client ?
Le responsable du traitement peut choisir entre six bases de traitement des données. Les voici :
  • 1. Contrat- Cela s'applique lorsque vous devez traiter les données personnelles du client afin de vous acquitter de vos obligations contractuelles ou prendre certaines mesures en vous basant sur la demande du client (l'envoi d'un devis ou d'une facture, par exemple).
  • 2. Obligation légale- Cela s'applique lorsque vous devez vous conformer à une obligation en vertu de toute loi applicable (en fournissant des informations pour répondre à des demandes valides, dans le cadre d'une enquête menée par une autorité, par exemple).
  • 3. Intérêts vitaux- Cela s'applique aux questions de vie et de mort urgentes, en particulier aux données sur la santé.
  • 4. Tâche publique- Cela s'applique aux activités des autorités publiques.
  • 5. Intérêts légitimes- Les intérêts légitimes peuvent comprendre des intérêts commerciaux, tels que le marketing direct, les intérêts individuels ou les avantages sociétaux plus vastes. Le responsable doit documenter et tenir à jour un registre des décisions sur les intérêts légitimes sous la forme d'une évaluation des intérêts légitimes.
  • 6. Consentement- Le consentement est également une base légale pour traiter des données. Le consentement de la personne concernée désigne « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
7. À quoi correspond l'acronyme LIA ?
LIA représente l'évaluation des intérêts légitimes (Legitimate Interests Assessment). Elle indique le motif pour lequel une organisation souhaite traiter les données personnelles d'un client. L'organisation doit également effectuer une LIA pour montrer que le traitement est nécessaire.
  • L'évaluation qui détermine si un intérêt légitime existe.
  • L'établissement de la nécessité de traitement.
  • L'exécution du test d'équilibrage.
8. À quoi correspond le terme DPO ?
Un délégué à la protection des données (DPO, Data Protection Officer) vous aide à contrôler la conformité interne, vous informe et vous conseille sur vos obligations en matière de protection des données, fournit des conseils concernant les évaluations de l'impact de la protection des données (DPIA, Data Protection Impact Assessments) et agit comme point de contact entre les personnes concernées et l'autorité de contrôle.
Un DPO sert également de point de contact entre l'entreprise et les autorités de contrôle (SA, Supervisory Authorities) qui supervisent les activités liées au traitement des données. Il est recommandé que chaque organisation dispose d'un DPO.
9. Comment faire pour activer le RGPD pour les clients existants ?
Vous pouvez activer le RGPD pour les clients existants en cliquant sur Configuration > Utilisateurs et Contrôle > Paramètres de conformité, puis en activant les paramètres de conformité et en sélectionnant les modules pour lesquels la conformité sera applicable.
10. Que va-t-il arriver à mes données existantes dans Zoho CRM après l'entrée en vigueur du RGPD ?
Après l'entrée en vigueur du RGPD le 25 mai, tous les enregistrements existants dans votre compte Zoho CRM devront être marqués conformément à la base de traitement légale appropriée. Vous pouvez le faire via :
  • La page des informations générales
  • L'affichage de liste du module correspondant
  • Les enregistrements individuels
11. Comment Zoho CRM vous aide-t-il à vous conformer au RGPD ?
Voici comment Zoho CRM peut vous aider à respecter le RGPD.

Suivi des sources de données- Zoho CRM enregistre la source des données (sources directes telles que les formulaires Web et sources indirectes telles que l'interface utilisateur, les importations, les API et d'autres intégrations tierces) et des détails supplémentaires, le cas échéant (URL et adresse IP, par exemple), dans la page des détails de l'enregistrement. Ces détails sont communiqués au client, sur demande.

Marquage des champs personnels- Les utilisateurs ont la possibilité de marquer les champs contenant des données à caractère personnel, mais aussi de marquer les champs sensibles.

Droits de la personne concernée- Vos clients ont également le droit de demander l'accès, la rectification, la suppression et l'export de leurs données, ainsi que la restriction de leur traitement. En votre qualité de responsable du traitement, vous devez effectuer ces actions.
12. Quels droits auront les personnes concernées en vertu du RGPD dans Zoho CRM ?
Les personnes concernées disposeront de cinq des huit droits fondamentaux conformément au RGPD dans Zoho CRM :
  • Le droit d'accès- Les clients ont le droit de savoir exactement quelles informations sont recueillies à leur sujet et la façon dont elles sont traitées. (Article 15 du RGPD)
  • Le droit de rectification- Les individus/clients ont le droit de demander la rectification de leurs données personnelles si elles s'avèrent inexactes ou incomplètes. (Article 16)
  • Le droit à la portabilité- Les informations spécifiques au client peuvent être exportées, jointes à un e-mail et envoyées aux clients dans un format qu'un ordinateur peut lire (CSV) sans être téléchargées sur votre appareil. (Article 20)
  • Le droit de limitation du traitement- Les individus ont le droit de limiter les fins pour lesquelles le responsable peut traiter leurs données. (Article 18)
  • Le droit à l'effacement- Également appelé « le droit à l'oubli », les individus ont le droit de demander la suppression ou le retrait de leurs données personnelles quand ils le souhaitent. (Article 17).
13. Quels sont les différents moyens via lesquels vous pouvez obtenir le consentement du client ?
Vous pouvez obtenir le consentement du client par e-mail (e-mail en ligne ou formulaire de consentement joint à l'e-mail), via des portails ou oralement par le biais d'appels téléphoniques.
14. Que va-t-il se produire si les organisations ne respectent pas le RGPD ?
Les organisations peuvent se voir infliger une amende allant jusqu'à 4 % de leur chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé des deux) pour les cas de violations ou d'infractions des données les plus graves, notamment le fait ne pas disposer du consentement du client adapté pour traiter des données ou de violer les concepts fondamentaux mêmes de la vie privée dès la conception (Privacy by Design).
Elles peuvent être condamnées à une amende s'élevant à 2 % de leur chiffre d'affaires mondial annuel ou à 10 millions d'euros (le montant le plus élevé des deux) si leurs dossiers ne sont pas en ordre, si elles n'informent pas l'autorité de contrôle et le client de l'existence d'une violation, ou si elles n'effectuent pas correctement une LIA.
15. Mon entreprise n'est pas établie dans l'UE. Je n'ai pas non plus de clients européens. Dois-je quand même me conformer au RGPD ?
Le RGPD n'est pas obligatoire si votre entreprise n'est pas établie au sein de l'UE ou si vous ne traitez pas avec des résidents de l'UE. Toutefois, si vous souhaitez garantir davantage la sécurité et la confidentialité des données des clients, il est recommandé d'activer la conformité au RGPD. Vous pouvez le faire en cliquant sur Setup > Users and Control > Compliance Settings (Configuration > Utilisateurs et Contrôle > Paramètres de conformité) et en activant les paramètres.
16. Le chiffrement des données est-il obligatoire en vertu du RGPD ?
Non, le RGPD n'exige pas le chiffrement des données des clients. Toutefois, Zoho CRM vous permet de chiffrer les champs manuellement dans la page des propriétés du champ.
17. Puis-je utiliser un champ chiffré dans un formulaire Web ?
Oui, vous pouvez utiliser un champ chiffré dans un formulaire Web.
18. J'ai désactivé la conformité. Quel sera l'impact sur la base de traitement des données de mes dossiers existante ?
Lorsque vous accédez à la page des paramètres de conformité et désactivez la conformité, les activités de traitement que vous aviez effectuées auparavant concernant les données de la personne concernée perdent leur effet et les données seront traitées sans aucune base.
19. Les clients peuvent-ils supprimer ou retirer leurs données de Zoho CRM ?
Les clients peuvent utiliser le droit à l'effacement (également connu sous le nom du droit à l'oubli) (Article 17) pour demander la suppression ou le retrait des données personnelles du CRM. En votre qualité de responsable du traitement, vous devrez supprimer les données si les clients le demandent, à moins que vous ayez des obligations légales absolues de conserver les données (reportez-vous à l'Article 17 du RGPD de l'UE).
20. Comment le responsable du traitement peut-il conserver la trace des différentes activités de traitement de données exécutées dans Zoho CRM ?
Le responsable du traitement peut consulter l'affichage chronologique existant dans Zoho CRM et suivre les mises à jour et les modifications apportées aux activités de traitement de données de chaque dossier.
21. La double confirmation est-elle obligatoire pour le traitement des données ?
Non, la double confirmation n'est pas obligatoire pour le traitement des données. Toutefois, une double confirmation est recommandée afin de vérifier que les clients sont véritablement intéressés par le produit. Dans le cadre de la double confirmation, les clients recevront un e-mail supplémentaire pour confirmer leur identité après leur inscription sur des formulaires Web.
22. Qu'arrive-t-il aux données si le client ne répond pas à un e-mail de consentement dans un certain délai ?
Si le client ne répond pas à un e-mail de consentement, les responsables du traitement peuvent déterminer le temps d'attente pour recevoir une réponse. Une fois ce délai dépassé, le statut des dossiers sera Not Responded (Absence de réponse) et les données ne seront pas traitées.
23. Comment le responsable du traitement catégorise-t-il les champs dans Zoho CRM ?
Le responsable du traitement a la possibilité de marquer les champs de l'utilisateur comme personnels et sensibles dans Zoho CRM. Le responsable peut également décider de limiter les activités de ces champs, comme les exportations, les API et d'autres services connectés de Zoho CRM. (Books, Finance, Campaigns etc.)
24. Puis-je filtrer les leads et les contacts en fonction de la base de traitement de données ?
Oui, vous pouvez filtrer les leads et les contacts selon leur base de traitement de données.
25. Les personnes concernées peuvent-elles modifier ou supprimer leurs propres données avant de donner leur consentement aux responsables du traitement ?
Oui, les personnes concernées peuvent modifier et mettre à jour leurs données personnelles en vertu du droit de rectification (Article 16) et du droit à l'effacement (Article 17).
26. Qui peut accéder aux paramètres de conformité dans Zoho CRM ?
Les utilisateurs avec un profil Administrateur peuvent accéder aux paramètres de conformité dans Zoho CRM.
27. À quelle fréquence puis-je examiner la base légale du traitement des données ?
En tant que responsable du traitement, vous devez examiner régulièrement la base légale en vertu de laquelle vous traitez les données, car cette base depuis laquelle vous avez initialement traité les données personnelles et l'objectif de recueil des données peuvent changer avec le temps.
28. Mes données se trouvent actuellement dans le centre de données des États-Unis. Comment puis-je migrer ces données vers l'UE pour faire appliquer le RGPD ?
Le RGPD n'exige pas que le stockage des données soit effectué uniquement à l'intérieur des frontières de l'UE. En réalité, il fournit également des mécanismes de transfert de qualité pour la libre circulation des données à destination et en provenance de pays qui n'appartiennent pas à l'UE.

Voici certains de ces mécanismes de transfert : les règles d'entreprise contraignantes (Article 47), le bouclier de protection des données et les clauses contractuelles types, entre autres. Donc, si certaines de vos données se trouvent aux États-Unis (zoho.com) et si vous avez signé l'addenda relatif au traitement des données (DPA), vos données sont protégées.

Le DPA, qui fait référence aux clauses contractuelles types de l'UE, contribuera toujours au transfert des données de pays ne faisant pas partie de l'UE. Si vous voulez que nous vous envoyions votre DPA mis à jour, envoyez un e-mail à gdpr-compliance@zohocorp.com et indiquez clairement si vous vous êtes inscrit sur zoho.com ou zoho.eu

Toutefois, si vous avez vraiment besoin de migrer vos données vers le centre de données de l'UE, vous pouvez envoyer un e-mail à security@zohocorp.com mentionnant tous les services que vous utilisez. Cet e-mail sera envoyé à l'équipe Produit concernée.
29. Où puis-je trouver des ressources supplémentaires sur le RGPD ?
Voici quelques liens que vous pouvez consulter pour obtenir des informations supplémentaires sur le RGPD.
Remarque : Zoho Corporation n'est pas responsable du contenu de ces pages et n'avalise pas ces liens.
30. Puis-je marquer mes données comme personnelles ?
Oui, vous pouvez marquer vos données comme personnelles. Une fois cette opération effectuée, vous pouvez également choisir les champs à marquer comme normaux et les champs à marquer comme sensibles.
31. Combien de champs puis-je marquer comme personnels ?
Vous pouvez marquer au maximum 30 champs comme personnels dans chaque module.
32. Quels types de champ peuvent être marqués comme personnels ?
Tous les champs, à l'exception des champs Recherche, Recherche utilisateur, Formule et Numéro automatique, peuvent être marqués comme personnels.
33. Comment puis-je marquer mes données comme personnelles ?
Pour marquer vos données comme personnelles :
  • Sélectionnez Configuration > Personnalisation > Modules et champs.
  • Passez votre souris sur le module qui contient les informations personnelles des personnes concernées.
  • Cliquez sur Gérer les champs personnels dans la liste déroulante.
  • Dans la section Gérer les champs personnels, cliquez sur Marquer comme champ personnel.
  • Définissez le type de données sur Normal ou Sensible.
  • Cliquez sur Terminé.
34. Une fois que j'ai marqué mes données comme personnelles, quel impact cela a-t-il sur le traitement des données ?
Lorsque vous marquez vos données comme personnelles, leur utilisation est restreinte dans des activités telles que les exportations, les API et d'autres services connectés de Zoho CRM (Books, Finance, Campaigns, etc.
35. Les champs des sous-formulaires peuvent-ils également être marqués comme personnels ?
Oui, vous pouvez également marquer comme personnels les champs dont le traitement est pris en charge dans les sous-formulaires.
36. Comment activer la double confirmation pour mon formulaire Web ?
Pour activer la double confirmation :
  • Accédez à Configuration > Espace développeurs > Formulaires Web > Créer un formulaire Web.
  • Glissez-déposez les champs dont vous avez besoin dans le formulaire.
  • Cliquez sur Étape suivante. Dans la page Détails du formulaire, saisissez les détails du formulaire pertinents.
  • Dans la section Gérer les champs personnels, cliquez sur Marquer comme champ personnel.
  • Faites glisser le curseur sur Activer la double confirmation et enregistrez les modifications.
37. Puis-je restreindre l'accès aux données personnelles en dehors de Zoho CRM ?
Oui, vous pouvez empêcher l'accès aux données personnelles de la personne concernée en dehors de Zoho CRM. Une fois que vous avez marqué les données comme normales et sensibles, vous pouvez effectuer les actions suivantes :
  • Limiter le transfert de données aux applications/intégrations Zoho
  • Limiter l'accès aux données via l'API
  • Limiter les données à exporter
  • Restreindre l'accès aux données par les applications tierces
38. Comment restreindre le partage des données personnelles ?
Pour restreindre le partage des données personnelles :
  • Cliquez sur Configuration > Utilisateurs et contrôle > Paramètres de conformité.
  • Cliquez sur l'onglet Préférences.
  • Sous Gestion des données personnelles, sélectionnez l'emplacement où vous souhaitez restreindre le transfert de données (applications Zoho, applications tierces, API, exportation)
39. Où puis-je mettre à jour la base de traitement des données ?
Vous pouvez mettre à jour la base de traitement des données pour les clients dans la page des détails de l'enregistrement. Cliquez sur l'onglet Confidentialité des données, sélectionnez ou modifiez la base de traitement des données. Vous pouvez également sélectionner des enregistrements depuis l'affichage Liste d'un module et mettre à jour la base de traitement des données. La troisième façon de procéder est d'utiliser le tableau de bord de présentation du consentement. Accédez à Configuration > Paramètres de conformité, cliquez sur l'onglet Aperçu, sélectionnez les enregistrements et mettez à jour la base de traitement des données.
40. Qu'est-ce que la période d'attente ?
Il s'agit de la durée entre l'envoi de votre e-mail de consentement et la réception de la réponse. L'organisation peut définir cette période d'attente. Une fois la période d'attente dépassée, toutes les activités de traitement associées à l'enregistrement seront interrompues.
41. Puis-je rajouter un enregistrement précédemment bloqué au système CRM ?
Oui, un enregistrement qui avait été précédemment bloqué peut être rajouté en tant que nouvel enregistrement dans CRM. Avant d'ajouter l'enregistrement, vous recevrez une alerte indiquant qu'il était précédemment sur la liste des enregistrements bloqués.
42. La personne concernée peut-elle utiliser Portails pour mettre à jour son consentement ?
Oui, vous pouvez obtenir le consentement du client via Portails.
43. Les droits relatifs à la personne concernée peuvent-ils être accordés par le biais de Portails ?
Oui, les droits relatifs aux personnes concernées peuvent être accordés via Portails.
  • bsi-assurance
  • Privacy Shield (bouclier de confidentialité UE-États-Unis)
  • TRUSTe
  • SOC

Clause de non-responsabilité : les informations figurant dans ce document ne doivent pas être considérées comme un avis juridique. Nous vous recommandons de consulter un conseiller juridique pour connaître les actions à effectuer afin de vous conformer aux exigences du RGPD.