La version de Zoho CRM conforme au GDPR est disponible ici.

La simple protection des données personnelles d'un client n'est pas suffisante. Le GDPR exige que votre traitement de ses données personnelles soit transparent et sécurisé. Recueillez et traitez les données conformément au GDPR à l'aide de Zoho CRM.

  • Fonctions
  • Questions fréquemment posées

Collecte des données

Gardez une trace des sources de données de votre client et confirmez l'intérêt de votre client pour votre service avant de commencer le traitement de ses informations.

Suivi de la source de données

Gardez une trace des sources multiples de données client (formulaires Web, importations, création manuelle, API ou intégrations tierces) dans les détails du dossier du client. S'agissant des formulaires Web, des détails supplémentaires comme le nom du formulaire et l'adresse IP seront enregistrés.

Double confirmation

Activez le double mécanisme de confirmation pour les formulaires Web afin que les clients qui soumettent leurs informations doivent confirmer leur envoi avant que leurs données ne soient transférées dans Zoho CRM. La double confirmation vous permet d'obtenir des leads de qualité, et de consacrer du temps et des ressources aux personnes qui veulent entendre parler de vous.

Traitement des données

Garantissez un traitement légal et sécurisé des données personnelles de votre client. Assumez vos responsabilités en documentant les activités de traitement effectuées à partir des données d'un client.

Base de traitement de données

Identifiez, classez et marquez les clients en fonction de l'une des six bases légales pour le traitement des données : intérêt légitime, consentement, exécution d'un contrat, obligations légales, intérêt vital, intérêts publics.

Formulaire de consentement

Selon le type de client et les informations personnelles en cours de traitement, vous devez demander leur consentement. Obtenez facilement le consentement par le biais d'un formulaire personnalisable que vous pouvez envoyer par e-mail à vos clients. 

Marquage des champs personnels

Marquez les champs qui contiennent des informations personnelles et déterminez si les informations sont sensibles ou non. En fonction des préférences des paramètres de conformité, vous pouvez restreindre le traitement des informations provenant de ces champs lors des exportations, des API et des services connectés.  

Chiffrement au repos (EAR)

Zoho CRM utilise l'un des chiffrements les plus puissants et les plus robustes (AES, Advanced Encryption Standard), pour chiffrer vos données sensibles. En plus de protéger les données en transit, Zoho CRM sécurise les données stockées dans les serveurs à l'aide de la norme de chiffrement AES-256 pour assurer l'anonymat des informations du client en cas de fuite ou d'infraction.

Journaux d'audit

Surveillez les activités de votre équipe avec des journaux d'audit, afin de savoir qui a fait quoi et quand. Par exemple, toutes les actions effectuées par vos utilisateurs en matière de suppression et de modifications de dossiers sont vérifiées.

Droits des personnes concernées

Conformément au GDPR, les clients peuvent exercer plusieurs droits qui leur sont reconnus à tout moment. Effectuez le suivi de ces demandes et répondez-y en temps opportun.

  • Accès (droit d'accès) 

    Laissez vos clients accéder à leurs données via le portail client. Autrement, indiquez-leur qu'ils peuvent y accéder en leur envoyant un e-mail que vous pouvez créer en insérant les champs fusionnés requis dans un modèle. 

  • Rectifier (droit de rectification)

    Exportez les informations des clients avec facilité, envoyez-les-leur pour rectification et mettez-les à jour dans CRM. Si les clients ont accès au portail client, ils peuvent y visualiser leurs informations et les mettre à jour eux-mêmes, le cas échéant.

  • Exporter (droit à la portabilité des données)  

    Exportez les informations d'un client dans un fichier CSV, directement joint à un e-mail avant d'être envoyé au client. Cette exportation garantit qu'aucune information n'est stockée sur des périphériques externes.

  • Arrêter le processus (droit de restriction du traitement)

    Lorsque ce droit est exercé, le dossier du client est automatiquement verrouillé pour empêcher tout autre traitement des informations.

  • Effacer (droit à l'oubli) 

    Vous pouvez facilement supprimer les informations d'un client de Zoho CRM lorsqu'un « droit à l'oubli » est demandé. Une fois supprimé, le dossier sera déplacé vers la liste de blocage pour que les utilisateurs soient avertis si le même dossier est envoyé à nouveau dans le système.

Questions fréquemment posées

1. Qu'est-ce que le GDPR et quel sera son impact sur les organisations ?
Le Règlement général sur la protection des données (ou GDPR) est un nouveau règlement élaboré par l'Union européenne (UE) qui comprend la protection et la libre circulation des données personnelles, ainsi que les droits des individus (y compris ceux des enfants). C'est un ensemble de règles qui remplaceront l'actuelle Directive de protection des données (Directive 95/46/CE) et s'appliqueront dans toute l'UE. Le GDPR permettra de donner directement aux résidents de l'UE le contrôle du traitement de leurs données et protégera la confidentialité de leurs données. 
2. À qui le GDPR s'applique-t-il ?
Le GDPR s'appliquera aux entreprises situées dans l'UE, ainsi qu'à celles qui font affaire avec des résidents de l'UE, quel que soit l'endroit où elles sont basées.
3. À quel genre de données le GDPR s'applique-t-il ?
Le GDPR s'applique exclusivement aux données personnelles. Les données personnelles sont considérées comme « toute information qui se rapporte à une personne identifiée ou identifiable, ou à une personne concernée ». Sont inclus le nom (du client), l'adresse e-mail, l'emplacement et d'autres identificateurs en ligne de la personne concernée, tels que l'adresse IP, le profil sur les réseaux sociaux et les types de cookies de site Web. 
4. Le respect du GDPR sera-t-il applicable à tous les modules dans Zoho CRM ?
La conformité du GDPR est uniquement applicable aux modules liés aux personnes dans l'organisation. Dans Zoho CRM, le GDPR s'applique aux leads, contacts, vendeurs et modules personnalisés. 
5. Qui sont les intervenants clés dans le GDPR ?
  • Personne concernée- Toute personne dont vous recueillez ou traitez les données personnelles.
  • Responsable du traitement- La personne qui détermine l'objectif et les méthodes de traitement des données.
  • Responsables conjoints du traitement- Deux ou plusieurs contrôleurs qui déterminent conjointement les objectifs et les méthodes de traitement des données.
  • Sous-traitant des données- La personne ou l'entreprise qui traite les données au nom du responsable.
  • Sous-traitant de second degré des données- Un particulier ou une entreprise qui effectue le traitement des données pour d'autres entreprises et qui est responsable du traitement des données.
  • Autorités de contrôle- Les autorités publiques chargées de contrôler l'application du GDPR.
6. Quelles sont les bases légales que le responsable du traitement peut utiliser pour traiter les données du client ?
Le responsable du traitement peut choisir entre six bases de traitement des données. Les voici :
  • 1. Contrat- Cela s'applique lorsque vous devez traiter les données personnelles du client afin de vous acquitter de vos obligations contractuelles ou prendre certaines mesures en vous basant sur la demande du client (l'envoi d'un devis ou d'une facture, par exemple).
  • 2. Obligation légale- Cela s'applique lorsque vous devez vous conformer à une obligation en vertu de toute loi applicable (en fournissant des informations pour répondre à des demandes valides, dans le cadre d'une enquête menée par une autorité, par exemple). 
  • 3. Intérêts vitaux- Cela s'applique aux questions de vie et de mort urgentes, en particulier aux données sur la santé.
  • 4. Tâche publique- Cela s'applique aux activités des autorités publiques. 
  • 5. Intérêts légitimes- Les intérêts légitimes peuvent comprendre des intérêts commerciaux, tels que le marketing direct, les intérêts individuels ou les avantages sociétaux plus vastes. Le responsable doit documenter et tenir à jour un registre des décisions sur les intérêts légitimes sous la forme d'une évaluation des intérêts légitimes.
  • 6. Consentement- Le consentement est également une base légale pour traiter des données. Le consentement de la personne concernée désigne « toute indication donnée librement, spécifique, informée et sans équivoque du souhait de la personne concernée par lequel elle, via une déclaration ou par une action positive claire, signifie son accord pour le traitement des données personnelles qui se rapportent à elle ».
7. À quoi correspond l'acronyme LIA ?
LIA représente l'évaluation des intérêts légitimes (Legitimate Interests Assessment). Elle indique le motif pour lequel une organisation souhaite traiter les données personnelles d'un client. L'organisation doit également effectuer une LIA pour montrer que le traitement est nécessaire.
  • L'évaluation qui détermine si un intérêt légitime existe.
  • L'établissement de la nécessité de traitement.
  • L'exécution du test d'équilibrage.
 
8. À quoi correspond le terme DPO ?
Un délégué à la protection des données (DPO, Data Protection Officer) vous aide à contrôler la conformité interne, vous informe et vous conseille sur vos obligations en matière de protection des données, fournit des conseils concernant les évaluations de l'impact de la protection des données (DPIA, Data Protection Impact Assessments) et agit comme point de contact entre les personnes concernées et l'autorité de contrôle.
Un DPO sert également de point de contact entre l'entreprise et les autorités de contrôle (SA, Supervisory Authorities) qui supervisent les activités liées au traitement des données. Il est recommandé que chaque organisation dispose d'un DPO. 
9. Comment faire pour activer le GDPR pour les clients existants ?
Vous pouvez activer le GDPR pour les clients existants en cliquant sur Setup > Users and Control > Compliance Settings (Configuration > Utilisateurs et Contrôle > Paramètres de conformité), puis en activant les paramètres de conformité et en sélectionnant les modules pour lesquels la conformité sera applicable.   
10. Que va-t-il arriver à mes données existantes dans Zoho CRM après l'entrée en vigueur du GDPR ?
Après l'entrée en vigueur du GDPR le 25 mai, tous les dossiers existants dans votre compte Zoho CRM devront être marqués conformément à la base de traitement légale appropriée. Vous pouvez le faire via :
  • La page des informations générales
  • L'affichage de liste du module correspondant
  • Les dossiers individuels
11. Comment Zoho CRM vous aide-t-il à vous conformer au GDPR ?
Voici comment Zoho CRM peut vous aider à effectuer le 

suivi des sources de données- Zoho CRM enregistre la source des données (sources directes telles que les formulaires Web et sources indirectes telles que l'interface utilisateur, les importations, les API et d'autres intégrations tierces) et des détails supplémentaires, le cas échéant (URL et adresse IP, par exemple), dans la page des détails du dossier. Ces détails sont partagés avec le client, sur demande.

Marquage des champs personnels- Les utilisateurs ont la possibilité de marquer les champs contenant des données personnelles, ainsi que les champs sensibles.

Droits des personnes concernées- Vos clients ont aussi le droit de demander d'accéder aux données, ainsi que de les rectifier, supprimer, exporter et d'en restreindre le traitement. En votre qualité de responsable du traitement, vous devez effectuer ces actions. 
12. Quels droits auront les personnes concernées en vertu du GDPR de Zoho CRM ?
Les personnes concernées disposeront de cinq des huit droits fondamentaux conformément au GDPR dans Zoho CRM :
  • Le droit d'accès- Les clients ont le droit de savoir exactement quelles informations sont recueillies à leur sujet et la façon dont elles sont traitées. (Article 15 du GDPR)
  • Le droit de rectification- Les individus/clients ont le droit de demander la rectification de leurs données personnelles si elles s'avèrent inexactes ou incomplètes. (Article 16)
  • Le droit à la portabilité- Les informations spécifiques au client peuvent être exportées, jointes à un e-mail et envoyées aux clients dans un format qu'un ordinateur peut lire (CSV) sans être téléchargées sur votre appareil. (Article 20)
  • Le droit de limitation du traitement- Les individus ont le droit de limiter les fins pour lesquelles le responsable peut traiter leurs données. (Article 18)
  • Le droit à l'effacement- Également appelé « le droit à l'oubli », les individus ont le droit de demander la suppression ou le retrait de leurs données personnelles quand ils le souhaitent. (Article 17).
13. Quels sont les différents moyens via lesquels vous pouvez obtenir le consentement du client ?
Vous pouvez obtenir le consentement du client par e-mail (e-mail en ligne ou formulaire de consentement joint à l'e-mail), via des portails ou oralement par le biais d'appels téléphoniques.
14. Que va-t-il se produire si les organisations ne respectent pas le GDPR ?
Les organisations peuvent se voir infliger une amende allant jusqu'à 4 % de leur chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé des deux) pour les cas de violations ou d'infractions des données les plus graves, notamment le fait ne pas disposer du consentement du client adapté pour traiter des données ou de violer les concepts fondamentaux mêmes de la vie privée dès la conception (Privacy by Design). 
Elles peuvent être condamnées à une amende s'élevant à 2 % de leur chiffre d'affaires mondial annuel ou à 10 millions d'euros (le montant le plus élevé des deux) si leurs dossiers ne sont pas en ordre, si elles n'informent pas l'autorité de contrôle et le client de l'existence d'une violation, ou si elles n'effectuent pas correctement une LIA. 
15. Mon entreprise n'est pas établie dans l'UE. Je n'ai pas non plus de clients européens. Dois-je quand même me conformer au GDPR ?
Le GDPR n'est pas obligatoire si votre entreprise n'est pas établie au sein de l'UE ou si vous ne traitez pas avec des résidents de l'UE. Toutefois, si vous souhaitez garantir davantage la sécurité et la confidentialité des données des clients, il est recommandé d'activer la conformité au GDPR. Vous pouvez le faire en cliquant sur Setup > Users and Control > Compliance Settings (Configuration > Utilisateurs et Contrôle > Paramètres de conformité) et en activant les paramètres.
16. Le chiffrement des données est-il obligatoire en vertu du GDPR ? 
Non, le GDPR n'exige pas le chiffrement des données des clients. Toutefois, Zoho CRM vous permet de chiffrer les champs manuellement dans la page des propriétés du champ.
17. Puis-je utiliser un champ chiffré dans un formulaire Web ?
Oui, vous pouvez utiliser un champ chiffré dans un formulaire Web. 
18. J'ai désactivé la conformité. Quel sera l'impact sur la base de traitement des données de mes dossiers existante ?
Lorsque vous accédez à la page des paramètres de conformité et désactivez la conformité, les activités de traitement que vous aviez effectuées auparavant concernant les données de la personne concernée perdent leur effet et les données seront traitées sans aucune base. 
19. Les clients peuvent-ils supprimer ou retirer leurs données de Zoho CRM ?
Les clients peuvent utiliser le droit à l'effacement (également connu sous le nom du droit à l'oubli) (Article 17) pour demander la suppression ou le retrait des données personnelles du CRM. En votre qualité de responsable du traitement, vous devrez supprimer les données si les clients le demandent, à moins que vous ayez des obligations légales absolues pour conserver les données (reportez-vous à l'Article 17 du GDPR de l'UE). 
20. Comment le responsable du traitement peut-il conserver la trace des différentes activités de traitement de données exécutées dans Zoho CRM ?
Le responsable du traitement peut consulter l'affichage chronologique existant dans Zoho CRM et suivre les mises à jour et les modifications apportées aux activités de traitement de données de chaque dossier. 
21. La double confirmation est-elle obligatoire pour le traitement des données ?
Non, la double confirmation n'est pas obligatoire pour le traitement des données. Toutefois, une double confirmation est recommandée afin de vérifier que les clients sont véritablement intéressés par le produit. Dans le cadre de la double confirmation, les clients recevront un e-mail supplémentaire pour confirmer leur identité après leur inscription sur des formulaires Web.
22. Qu'arrive-t-il aux données si le client ne répond pas à un e-mail de consentement dans un certain délai ? 
Si le client ne répond pas à un e-mail de consentement, les responsables du traitement peuvent déterminer le temps d'attente pour recevoir une réponse. Une fois ce délai dépassé, le statut des dossiers sera Not Responded (Absence de réponse) et les données ne seront pas traitées. 
23. Comment le responsable du traitement catégorise-t-il les champs dans Zoho CRM ?  
Le responsable du traitement a la possibilité de marquer les champs de l'utilisateur comme personnels et sensibles dans Zoho CRM. Le responsable peut également décider de limiter les activités de ces champs, comme les exportations, les API et d'autres services connectés de Zoho CRM. (Books, Finance, Campaigns etc.) 
24. Puis-je filtrer les leads et les contacts en fonction de la base de traitement de données ? 
Oui, vous pouvez filtrer les leads et les contacts selon leur base de traitement de données.
25. Les personnes concernées peuvent-elles modifier ou supprimer leurs propres données avant de donner leur consentement aux responsables du traitement ?  
Oui, les personnes concernées peuvent modifier et mettre à jour leurs données personnelles en vertu du droit de rectification (Article 16) et du droit à l'effacement (Article 17). 
26. Qui peut accéder aux paramètres de conformité dans Zoho CRM ?
Les utilisateurs avec un profil Administrateur peuvent accéder aux paramètres de conformité dans Zoho CRM. 
27. À quelle fréquence puis-je examiner la base légale du traitement des données ? 
En tant que responsable du traitement, vous devez examiner régulièrement la base légale en vertu de laquelle vous traitez les données, car cette base depuis laquelle vous avez initialement traité les données personnelles et l'objectif de recueil des données peuvent changer avec le temps.  
28. Mes données se trouvent actuellement dans le centre de données des États-Unis. Comment puis-je migrer ces données vers l'UE pour faire appliquer le GDPR ? 
Le GDPR n'exige pas que le stockage des données soit effectué uniquement à l'intérieur des frontières de l'UE. En réalité, il fournit également des mécanismes de transfert de qualité pour la libre circulation des données à destination et en provenance de pays qui n'appartiennent pas à l'UE.
 
Voici certains de ces mécanismes de transfert : les règles d'entreprise contraignantes (Article 47), le bouclier de protection des données et les clauses contractuelles types, entre autres. Donc, si certaines de vos données se trouvent aux États-Unis (zoho.com) et si vous avez signé l'addenda relatif au traitement des données (DPA), vos données sont protégées. 
 
Le DPA, qui fait référence aux clauses contractuelles types de l'UE, contribuera toujours au transfert des données de pays ne faisant pas partie de l'UE. Si vous voulez que nous vous envoyions votre DPA mis à jour, envoyez un e-mail à gdpr-compliance@zohocorp.com et indiquez clairement si vous vous êtes inscrit sur zoho.com ou zoho.eu

Toutefois, si vous avez vraiment besoin de migrer vos données vers le centre de données de l'UE, vous pouvez envoyer un e-mail à security@zohocorp.com mentionnant tous les services que vous utilisez. Cet e-mail sera envoyé à l'équipe Produit concernée.
29. Où puis-je trouver des ressources supplémentaires sur le GDPR ? 
Voici quelques liens que vous pouvez consulter pour obtenir des informations supplémentaires sur le GDPR.
  • bsi-assurance
  • Privacy Shield (bouclier de confidentialité UE-États-Unis)
  • TRUSTe
  • SOC

Exclusion de responsabilité : le contenu présenté dans ce document ne doit pas être interprété comme un avis juridique. Contactez votre conseiller juridique pour connaître l'impact du GDPR sur votre organisation et ce que vous devez faire pour vous y conformer.