Respectez le RGPD grâce à Zoho CRM

La simple protection des données personnelles d'un client ne suffit pas. Le RGPD exige que votre traitement de ses données personnelles soit transparent et sécurisé. Recueillez et traitez les données conformément au RGPD à l'aide de Zoho CRM.

CRM Software benefits | Zoho CRM

Voici comment nous pouvons vous aider

  • Suivez les sources de données et activez la double confirmation
  • Obtenez et gérez le consentement
  • Chiffrez et sécurisez les données personnelles
  • Traitez facilement les demandes des personnes concernées
  • Contrôlez les informations partagées avec d'autres applications
Fonctionnalités
  • Fonctionnalités
  • Questions fréquemment posées

Collecte des données

Gardez une trace des sources de données de votre client et confirmez son intérêt pour votre service avant de commencer le traitement de ses informations.

Suivi des sources de données

Gardez une trace des sources multiples de données client (formulaires Web, importations, création manuelle, API ou intégrations tierces) dans les détails de l'enregistrement du client. S'agissant des formulaires Web, des détails supplémentaires comme le nom du formulaire et l'adresse IP sont enregistrés.

Double confirmation

Traitement des données

Garantissez un traitement légal et sécurisé des données personnelles de votre client. Assumez vos responsabilités en documentant les activités de traitement effectuées à partir des données d'un client.

Base de traitement de données

Identifiez, classez et marquez les clients en fonction de l'une des six bases légales régissant le traitement des données : l'intérêt légitime, le consentement, l'exécution d'un contrat, les obligations légales, l'intérêt vital et les intérêts publics.

Formulaire de consentement

Selon le type de client et les informations personnelles traitées, vous devez demander son consentement. Obtenez facilement le consentement par le biais d'un formulaire personnalisable que vous pouvez envoyer par e-mail à vos clients.

Marquage des champs personnels

Identifiez les champs qui contiennent des informations personnelles et déterminez si ces informations sont sensibles ou non. En fonction des préférences définies dans les paramètres de conformité, vous pouvez restreindre le traitement des informations provenant de ces champs pour les exportations, les API et les services connectés.

Chiffrement au repos (EAR)

Zoho CRM utilise l'un des chiffrements les plus puissants et les plus robustes (AES, Advanced Encryption Standard) pour chiffrer vos données sensibles. En plus de protéger les données en transit, Zoho CRM sécurise les données stockées dans les serveurs à l'aide de la norme de chiffrement AES-256 pour assurer l'anonymat des informations du client en cas de fuite ou d'infraction.

Journaux d'audit

Surveillez les activités de votre équipe avec des journaux d'audit, afin de savoir qui a fait quoi et quand. Par exemple, toutes les actions effectuées par vos utilisateurs en matière de suppression et de modifications d'enregistrements sont vérifiées.

Droits des personnes concernées

Conformément au RGPD, les clients peuvent demander à exercer à tout moment plusieurs droits qui leur sont reconnus. Effectuez le suivi de ces demandes et répondez-y en temps opportun.

Accès (droit d'accès)

Permettez à vos clients d'accéder à leurs données par le biais d'un portail client. Vous pouvez également leur indiquer qu'ils y ont accès en leur envoyant un e-mail que vous pouvez créer en insérant les champs fusionnés requis dans un modèle.

Rectification (droit de rectification)

Exportez les informations des clients avec facilité, envoyez-les-leur pour rectification et mettez-les à jour dans CRM. Si les clients ont accès au portail client, ils peuvent y visualiser leurs informations et les mettre à jour eux-mêmes, le cas échéant.

Exportation (droit à la portabilité des données)

Exportez les informations d'un client dans un fichier CSV, directement joint à un e-mail puis envoyé au client. Cette exportation empêche le stockage d'informations sur des appareils externes.

Arrêt du traitement (droit à la limitation de traitement)

Lorsque ce droit est exercé, l'enregistrement du client est automatiquement verrouillé pour empêcher tout autre traitement des informations qu'il contient.

Effacement (droit à l'oubli)

Vous pouvez facilement supprimer les informations d'un client de Zoho CRM souhaitant faire valoir son « droit à l'oubli ». Une fois supprimé, l'enregistrement est déplacé vers la liste de blocage, de façon à avertir le client si ce même enregistrement est envoyé à nouveau dans le système.

Questions fréquemment posées

1. Qu'est-ce que le RGPD et quel sera son impact sur les organisations ?
Le Règlement général sur la protection des données (ou RGPD) est un nouveau règlement élaboré par l'Union européenne (UE) qui comprend la protection et la libre circulation des données personnelles, ainsi que les droits des individus (y compris ceux des enfants). C'est un ensemble de règles qui remplacent l'ancienne Directive de protection des données (Directive 95/46/CE) et s'appliquent dans toute l'UE. Le RGPD permet de donner directement aux résidents de l'UE le contrôle du traitement de leurs données, tout en protégeant la confidentialité de ces dernières.
2. À qui le RGPD s'applique-t-il ?
Le RGPD s'applique aux entreprises situées dans l'UE, ainsi qu'à celles qui font affaire avec des résidents de l'UE, quel que soit l'endroit où elles sont implantées.
3. À quel genre de données le RGPD s'applique-t-il ?
Le RGPD s'applique exclusivement aux données personnelles. Est qualifiée de donnée personnelle « toute information qui se rapporte à une personne identifiée ou identifiable, ou à une personne concernée ». Sont inclus le nom, l'adresse e-mail, l'emplacement et d'autres identifiants en ligne de la personne concernée (soit le client), comme l'adresse IP, les profils sur les réseaux sociaux et les types de cookies de site Web.
4. Le respect du RGPD est-il applicable à tous les modules de Zoho CRM ?
La conformité au RGPD est uniquement applicable aux modules liés aux personnes dans l'organisation. Dans Zoho CRM, le RGPD s'applique aux modules liés aux leads, contacts et fournisseurs, ainsi qu'aux modules personnalisés.
5. Quelles les principales parties prenantes selon le RGPD ?
  • Personne concernée : toute personne dont vous recueillez ou traitez les données personnelles.
  • Responsable du traitement : personne qui détermine l'objectif et les méthodes de traitement des données.
  • Responsables conjoints du traitement : deux responsables du traitement (ou plus) qui déterminent conjointement les objectifs et les méthodes de traitement des données.
  • Sous-traitant des données : personne ou entreprise qui traite les données au nom du responsable.
  • Sous-traitant de second degré des données : particulier ou entreprise qui effectue le traitement des données pour d'autres entreprises et qui doit rendre compte du traitement des données.
  • Autorités de contrôle : autorités publiques chargées de contrôler l'application du RGPD.
6. Quels sont les fondements juridiques que le responsable du traitement peut invoquer pour traiter les données du client ?
Le responsable du traitement peut choisir entre six bases de traitement des données. Les voici :
  • 1. Contrat : cette base s'applique lorsque vous devez traiter les données personnelles du client afin de vous acquitter de vos obligations contractuelles ou de prendre certaines mesures découlant d'une demande du client (l'envoi d'un devis ou d'une facture, par exemple).
  • 2. Obligation légale : cette base s'applique lorsque vous devez vous conformer à une obligation en vertu de toute loi applicable (en fournissant des informations pour répondre à des demandes valides, dans le cadre d'une enquête menée par une autorité, par exemple).
  • 3. Intérêts vitaux : cette base s'applique aux questions « de vie et de mort » urgentes, en particulier aux données sur la santé.
  • 4. Tâche publique : cette base s'applique aux activités des autorités publiques.
  • 5. Intérêts légitimes : les intérêts légitimes peuvent comprendre des intérêts commerciaux, comme le marketing direct, les intérêts individuels ou des avantages sociétaux plus vastes. Le responsable doit documenter et tenir à jour un registre des décisions sur les intérêts légitimes sous la forme d'une évaluation des intérêts légitimes.
  • 6. Consentement : le consentement est également une base légale régissant le traitement des données. Le consentement de la personne concernée désigne « toute manifestation de volonté, libre, spécifique, éclairée et univoque, par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
7. À quoi correspond l'acronyme « LIA » ?
LIA désigne l'évaluation des intérêts légitimes (Legitimate Interests Assessment). Cette évaluation indique le motif pour lequel une organisation souhaite traiter les données personnelles d'un client. L'organisation doit également effectuer une LIA pour prouver la nécessité du traitement.
  • Ce processus comprend les opérations suivantes : Évaluation de l'existence d'un intérêt légitime.
  • Établissement de la nécessité du traitement.
  • Exécution du test d'équilibrage.
8. À quoi correspond le terme « DPO » ?
Un délégué à la protection des données (ou DPO, Data Protection Officer) vous aide à contrôler la conformité interne, vous informe et vous conseille sur vos obligations en matière de protection des données, fournit des conseils concernant les évaluations de l'impact de la protection des données (DPIA, Data Protection Impact Assessments) et agit comme point de contact entre les personnes concernées et l'autorité de contrôle.
Un DPO fait également office de point de contact entre l'entreprise et les autorités de contrôle (SA, Supervisory Authorities) qui supervisent les activités liées au traitement des données. Il est recommandé que chaque organisation dispose d'un DPO.
9. Comment activer le RGPD pour les clients existants ?
Vous pouvez activer le RGPD pour les clients existants en cliquant sur Configuration > Utilisateurs et Contrôle > Paramètres de conformité, puis en activant les paramètres de conformité et en sélectionnant les modules pour lesquels la conformité sera applicable.
10. Que va-t-il advenir de mes données existantes dans Zoho CRM après l'entrée en vigueur du RGPD ?
Après l'entrée en vigueur du RGPD le 25 mai, tous les enregistrements existants de votre compte Zoho CRM devront être marqués conformément à la base de traitement légale appropriée. Vous pouvez le faire dans les environnements suivants :
  • Page des informations générales
  • Affichage de liste du module correspondant
  • Enregistrements individuels
11. Comment la solution Zoho CRM peut-elle vous aider à vous conformer au RGPD ?
Voici comment Zoho CRM peut vous aider à respecter le RGPD.

Suivi des sources de données : Zoho CRM enregistre la source des données (sources directes comme les formulaires Web et sources indirectes comme l'interface utilisateur, les importations, les API et d'autres intégrations tierces) et des détails supplémentaires, le cas échéant (URL et adresse IP, par exemple), dans la page des détails de l'enregistrement. Ces détails peuvent être communiqués au client, sur demande.

Marquage des champs personnels : les utilisateurs ont la possibilité d'identifier les champs contenant des données à caractère personnel, mais aussi de signaler certains champs comme sensibles.

Droits des personnes concernées : vos clients ont également le droit de demander la consultation, la rectification, la suppression et l'exportation de leurs données, ainsi que la limitation du traitement de celles-ci. En votre qualité de responsable du traitement, vous devez effectuer ces actions.
12. Quels droits auront les personnes concernées en vertu du RGPD dans Zoho CRM ?
Dans Zoho CRM, les personnes concernées disposeront de cinq des huit droits fondamentaux conformément au RGPD :
  • Droit d'accès : les clients ont le droit de savoir exactement quelles informations sont recueillies à leur sujet et la façon dont elles sont traitées (Article 15 du RGPD).
  • Droit de rectification : les individus/clients ont le droit de demander la rectification de leurs données personnelles si celles-ci s'avèrent inexactes ou incomplètes (Article 16).
  • Droit à la portabilité : les informations spécifiques au client peuvent être exportées, jointes à un e-mail et envoyées aux clients dans un format lisible par un ordinateur (CSV) sans être téléchargées sur votre appareil (Article 20).
  • Droit de limitation de traitement : les individus ont le droit de limiter les fins pour lesquelles le responsable peut traiter leurs données (Article 18).
  • Droit à l'effacement : également appelé le « droit à l'oubli », ce droit permet aux individus de demander la suppression ou le retrait de leurs données personnelles quand ils le souhaitent (Article 17).
13. Quelles sont les différentes modalités d'obtention du consentement du client ?
Vous pouvez obtenir le consentement du client par e-mail (e-mail en ligne ou formulaire de consentement joint à un e-mail), sur des portails ou à l'oral par le biais d'appels téléphoniques.
14. Que risquent les organisations qui ne respectent pas le RGPD ?
Les organisations peuvent se voir infliger une amende allant jusqu'à 4 % de leur chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé des deux étant retenu) pour les cas de violations ou d'infractions des données les plus graves, notamment le défaut d'obtention du consentement du client adapté pour traiter des données ou la violation des concepts fondamentaux de la vie privée dès la conception (Privacy by Design).
Elles peuvent être condamnées à une amende s'élevant à 2 % de leur chiffre d'affaires mondial annuel ou à 10 millions d'euros (le montant le plus élevé des deux étant retenu) si leurs dossiers ne sont pas en ordre, si elles n'informent pas l'autorité de contrôle et le client de l'existence d'une violation, ou si elles n'effectuent pas correctement une LIA.
15. Mon entreprise n'est pas établie dans l'UE. Je n'ai pas non plus de clients européens. Dois-je quand même me conformer au RGPD ?
Le RGPD n'est pas obligatoire si votre entreprise n'est pas établie au sein de l'UE ou que vous ne traitez pas avec des résidents de l'UE. Toutefois, si vous souhaitez garantir davantage la sécurité et la confidentialité des données des clients, il est recommandé d'activer la conformité au RGPD. Vous pouvez le faire en cliquant sur Configuration > Utilisateurs et Contrôle > Paramètres de conformité et en activant les paramètres.
16. Le chiffrement des données est-il obligatoire en vertu du RGPD ?
Non, le RGPD n'exige pas le chiffrement des données des clients. Toutefois, Zoho CRM vous permet de chiffrer les champs manuellement dans la page des propriétés du champ.
17. Puis-je utiliser un champ chiffré dans un formulaire Web ?
Oui, vous pouvez utiliser un champ chiffré dans un formulaire Web.
18. J'ai désactivé la conformité. Quel sera l'impact sur la base de traitement des données existante de mes enregistrements ?
Lorsque vous accédez à la page des paramètres de conformité et désactivez la conformité, les activités de traitement que vous avez effectuées auparavant concernant les données des personnes concernées perdent leur effet, ce qui entraîne le traitement des données sans aucune base.
19. Les clients peuvent-ils supprimer ou retirer leurs données de Zoho CRM ?
Les clients peuvent faire valoir leur droit à l'effacement (également connu sous le nom de « droit à l'oubli ») (Article 17) pour demander la suppression ou le retrait des données personnelles de CRM. En votre qualité de responsable du traitement, vous devez supprimer les données à la demande des clients, à moins que vous ne soyez soumis à des obligations légales absolues de conserver ces données (voir l'Article 17 du RGPD de l'UE).
20. Comment le responsable du traitement peut-il conserver la trace des différentes activités de traitement de données exécutées dans Zoho CRM ?
Le responsable du traitement peut consulter l'affichage chronologique existant dans Zoho CRM et suivre les mises à jour et les modifications apportées aux activités de traitement de données de chaque enregistrement.
21. La double confirmation est-elle obligatoire pour le traitement des données ?
Non, la double confirmation n'est pas obligatoire pour le traitement des données. Toutefois, une double confirmation est recommandée afin de vérifier que les clients sont véritablement intéressés par le produit. Dans le cadre de la double confirmation, les clients recevront un e-mail supplémentaire pour confirmer leur identité après leur inscription sur des formulaires Web.
22. Qu'advient-il des données si le client ne répond pas à un e-mail de consentement dans un certain délai ?
Si le client ne répond pas à un e-mail de consentement, les responsables du traitement peuvent fixer un délai de réception d'une réponse. Passé ce délai, le statut des enregistrements devient « Not Responded » (Absence de réponse), et les données ne sont pas traitées.
23. Comment le responsable du traitement catégorise-t-il les champs dans Zoho CRM ?
Le responsable du traitement a la possibilité de marquer les champs de l'utilisateur comme personnels et sensibles dans Zoho CRM. Le responsable peut également décider de limiter les activités de ces champs, comme les exportations et l'utilisation d'API ou d'autres services connectés de Zoho CRM (Books, Finance, Campaigns, etc.).
24. Puis-je filtrer les leads et les contacts en fonction de la base de traitement de données ?
Oui, vous pouvez filtrer les leads et les contacts selon leur base de traitement des données.
25. Les personnes concernées peuvent-elles modifier ou supprimer leurs propres données avant de donner leur consentement aux responsables du traitement ?
Oui, les personnes concernées peuvent modifier et mettre à jour leurs données personnelles en vertu du droit de rectification (Article 16) et du droit à l'effacement (Article 17).
26. Qui peut accéder aux paramètres de conformité de Zoho CRM ?
Les utilisateurs possédant un profil Administrateur peuvent accéder aux paramètres de conformité de Zoho CRM.
27. À quelle fréquence puis-je examiner la base légale du traitement des données ?
En tant que responsable du traitement, vous devez examiner régulièrement la base légale en vertu de laquelle vous traitez les données, car la base initiale de traitement des données personnelles et l'objectif de recueil des données peuvent évoluer avec le temps.
28. Mes données se trouvent actuellement dans un centre de données situé aux États-Unis. Comment puis-je faire migrer ces données vers l'UE pour faire appliquer le RGPD ?
Le RGPD n'exige pas que le stockage des données soit effectué uniquement à l'intérieur des frontières de l'UE. En réalité, il fournit également des mécanismes de transfert efficaces pour assurer la libre circulation des données à destination et en provenance de pays qui n'appartiennent pas à l'UE.

Ces mécanismes de transfert incluent les règles d'entreprise contraignantes (Article 47), le bouclier de protection des données et les clauses contractuelles types, entre autres. Ainsi, si certaines de vos données se trouvent aux États-Unis (zoho.com) et que vous avez signé l'addenda relatif au traitement des données (DPA), vos données sont protégées.

Le DPA, qui fait référence aux clauses contractuelles types de l'UE, contribuera toujours au transfert des données de pays ne faisant pas partie de l'UE. Si vous voulez que nous vous envoyions votre DPA mis à jour, envoyez un e-mail à gdpr-compliance@zohocorp.com et indiquez clairement si vous vous êtes inscrit sur zoho.com ou zoho.eu

Toutefois, si vous avez vraiment besoin de faire migrer vos données vers un centre de données de l'UE, vous pouvez envoyer un e-mail à security@zohocorp.com indiquant tous les services que vous utilisez. Cet e-mail sera envoyé à l'équipe produit concernée.
29. Où puis-je trouver des ressources supplémentaires sur le RGPD ?
Voici quelques liens que vous pouvez consulter pour obtenir des informations supplémentaires sur le RGPD.
Remarque : Zoho Corporation n'est pas responsable du contenu de ces pages et n'avalise pas ces liens.
30. Puis-je marquer mes données comme personnelles ?
Oui, vous pouvez marquer vos données comme personnelles. Une fois cette opération effectuée, vous pouvez également choisir les champs à marquer comme normaux et les champs à marquer comme sensibles.
31. Combien de champs puis-je marquer comme personnels ?
Vous pouvez marquer au maximum 30 champs comme personnels dans chaque module.
32. Quels types de champ peuvent être marqués comme personnels ?
Tous les champs, à l'exception des champs Recherche, Recherche utilisateur, Formule et Numéro automatique, peuvent être marqués comme personnels.
33. Comment puis-je marquer mes données comme personnelles ?
Pour marquer vos données comme personnelles, procédez comme suit :
  • Sélectionnez Configuration > Personnalisation > Modules et champs.
  • Passez le curseur de votre souris sur le module qui contient les informations personnelles des personnes concernées.
  • Cliquez sur Gérer les champs personnels dans la liste déroulante.
  • Dans la section Gérer les champs personnels, cliquez sur Marquer comme champ personnel.
  • Définissez le type de données sur Normal ou Sensible.
  • Cliquez sur Terminé.
34. Une fois que j'ai marqué mes données comme personnelles, quel impact cela a-t-il sur leur traitement ?
Lorsque vous marquez vos données comme personnelles, leur utilisation est restreinte dans des activités comme les exportations et l'utilisation d'API ou d'autres services connectés de Zoho CRM (Books, Finance, Campaigns, etc.).
35. Les champs des sous-formulaires peuvent-ils également être marqués comme personnels ?
Oui, vous pouvez également marquer comme personnels les champs dont le traitement est pris en charge dans les sous-formulaires.
36. Comment activer la double confirmation pour mon formulaire Web ?
Pour activer la double confirmation, procédez comme suit :
  • Accédez à Configuration > Developer Space > Formulaires Web > Créer un formulaire Web.
  • Déplacez par glisser-déposer les champs que vous souhaitez inclure à votre formulaire Web.
  • Cliquez sur Étape suivante. Dans la page Détails du formulaire, saisissez les détails du formulaire pertinents.
  • Dans la section Gérer les champs personnels, cliquez sur Marquer comme champ personnel.
  • Faites glisser le curseur sur Activer la double confirmation et enregistrez les modifications.
37. Puis-je restreindre l'accès aux données personnelles en dehors de Zoho CRM ?
Oui, vous pouvez empêcher l'accès aux données personnelles des personnes concernées en dehors de Zoho CRM. Une fois que vous avez marqué les données comme normales et sensibles, vous pouvez effectuer les actions suivantes :
  • Limiter le transfert de données aux applications/intégrations Zoho
  • Limiter l'accès aux données par les API
  • Limiter les données à exporter
  • Restreindre l'accès aux données par les applications tierces
38. Comment restreindre le partage des données personnelles ?
Pour restreindre le partage des données personnelles, procédez comme suit :
  • Cliquez sur Configuration > Utilisateurs et contrôle > Paramètres de conformité.
  • Cliquez sur l'onglet Préférences.
  • Sous Gestion des données personnelles, sélectionnez le domaine de restriction du transfert de données (applications Zoho, applications tierces, API, exportation)
39. Où puis-je mettre à jour la base de traitement des données ?
Vous pouvez mettre à jour la base de traitement des données pour les clients dans la page des détails de l'enregistrement. Cliquez sur l'onglet Confidentialité des données, puis sélectionnez ou modifiez la base de traitement des données. Vous pouvez également sélectionner des enregistrements depuis l'affichage Liste d'un module et mettre à jour la base de traitement des données. La troisième façon de procéder est d'utiliser le tableau de bord de présentation du consentement. Accédez à Configuration > Paramètres de conformité, cliquez sur l'onglet Aperçu, sélectionnez les enregistrements et mettez à jour la base de traitement des données.
40. Qu'est-ce que la période d'attente ?
Il s'agit de la durée entre l'envoi de votre e-mail de consentement et la réception de la réponse. L'organisation peut définir cette période d'attente. Une fois la période d'attente dépassée, toutes les activités de traitement associées à l'enregistrement sont interrompues.
41. Puis-je de nouveau ajouter dans CRM un enregistrement précédemment bloqué ?
Oui, un enregistrement qui avait été précédemment bloqué peut être rajouté en tant que nouvel enregistrement dans CRM. Avant d'ajouter l'enregistrement, vous recevrez une alerte indiquant qu'il était précédemment sur la liste des enregistrements bloqués.
42. Une personne concernée peut-elle utiliser des portails pour mettre à jour son consentement ?
Oui, vous pouvez obtenir le consentement du client dans des portails.
43. Les droits relatifs aux personnes concernées peuvent-ils être accordés par le biais de portails ?
Oui, les droits relatifs aux personnes concernées peuvent être accordés dans des portails.
  •  

Clause de non-responsabilité : les informations figurant dans ce document ne doivent pas être considérées comme un avis juridique. Nous vous recommandons de consulter un conseiller juridique pour connaître les actions à effectuer afin de vous conformer aux exigences du RGPD.