272 millions d’euros.
C’est le montant total des amendes imposées par l’Union européenne aux entreprises pour non-conformité au GDPR, infractions sur les données et violations de la protection des données, depuis l’entrée en vigueur du GDPR en mai 2018. Sans surprise, les entreprises de toutes tailles ont dû investir beaucoup de temps et d’argent dans leur système informatique, afin de s’assurer qu’elles répondent aux réglementations les plus strictes du GDPR. Une grande partie de ces investissements sert à sécuriser et gérer leur source de référence absolue en matière de données client sur l’ensemble de leur écosystème informatique. Et sur le marché 2020-2021, cette source, c’est Salesforce.
Si vous utilisez Salesforce comme outil de CRM et que vous cherchez des conseils pour renforcer votre conformité au GDPR en 2021, ce guide est fait pour vous. Nous allons vous montrer comment Salesforce Analytics peut fournir à vos clients les garanties que vous traitez et gérez leurs données de façon responsable.
- Salesforce est-il conforme au GDPR ?
- Comment utiliser Salesforce Analytics pour être conforme au GDPR
- Conformité au GDPR dans Salesforce : une responsabilité proactive
Salesforce est-il conforme au GDPR ?
Pour faire court, oui, absolument.
En tant qu’entreprise dédiée au traitement de données client, Salesforce fournit des fonctionnalités complètes de contrôle pour traiter les requêtes sur les données et gérer les données en toute sécurité pour tous les processus métier, tout au long du cycle de vie du client. De plus, Salesforce fournit également une annexe complète sur le traitement des données, qui couvre tous les accords de transferts de données pour les politiques de protection des données approuvées par l’UE.
Mais même si Salesforce, en tant que plateforme, offre toutes ces garanties pour être conforme au GDPR, il est, en fin de compte, de votre responsabilité en tant qu’entreprise de traiter les données de vos clients avec le plus de soin possible. Cela signifie aussi que votre responsabilité s’étend à tous vos systèmes informatiques ainsi qu’à la façon dont vos partenaires et équipes en contact avec vos clients gèrent leurs processus métier vis-à-vis de ces données.
Voyons plus précisément les différents aspects de la conformité au GDPR dans le cadre du parcours client en ligne d’une entreprise. Au cours de celui-ci, il existe trois situations dans lesquelles l’entreprise doit traiter des données client, à savoir :
Visiteur
À ce stade, le client est un visiteur et se renseigne sur une entreprise. Le GDPR stipule que nous devons être conformes aux réglementations suivantes :
Consentement : s’assurer que l’on demande et que l’on enregistre de manière formelle le consentement du client concernant la collecte et l’enregistrement de ses données.
Sécurité et transparence : s’assurer qu’il y ait une mention de bonne foi sur la finalité, l’approche et la nature des données client enregistrées, et que l’accès à ces dernières soit géré de manière sécurisée.
Client/visiteur régulier
Dans cette phase, le client est un visiteur régulier, un prospect ou un client existant de l’entreprise. Le GDPR stipule que nous devons être conformes aux réglementations suivantes :
Accès à l’information : les clients doivent avoir le droit d’accéder à leurs données et de voir ce qui est enregistré et stocké pendant une période de 30 jours.
Objections aux données et modifications : les clients peuvent émettre des objections sur la manière dont leurs données sont utilisées et peuvent demander à corriger les informations incorrectes.
Notifications : les clients doivent être informés si leurs données sont exposées dans une violation de données, dans les 72 heures qui suivent la confirmation de cette faille.
Ancien client/client inactif
Droit à l’oubli : les clients ont le droit de réclamer la suppression de leurs données dans le cadre d’une demande volontaire de cessation de relation avec l’entreprise.
Portabilité des données : les clients peuvent émettre des requêtes pour demander à l’entreprise d’exporter l’ensemble de leurs données.
Comment utiliser Salesforce Analytics pour être conforme au GDPR
Dans la section précédente, nous avons vu les différents aspects de la conformité au GDPR pour accéder, stocker et gérer les données client selon leur position dans le parcours client. Nous allons maintenant voir comment Salesforce Analytics nous permet de respecter les réglementations du GDPR dans chacun de ces cas.
Gérer les consentements dans Salesforce
Salesforce vous permet de satisfaire les requêtes des clients sur la façon dont vous, en tant qu’entreprise, utilisez leurs données. La plateforme Salesforce prend en charge le GDPR et les lois de protection des données particulières à un pays, comme le CCPA aux États-Unis et le CASL au Canada. Les cas les plus courants sont l’implémentation de préférences en matière de confidentialité des données pour gérer la confidentialité du client, sous la forme d’Objets de gestion du consentement.
Ces objets nous permettent d’établir un historique concernant les autorisations et de gérer les modes de communication pour que les clients puissent, respectivement, fournir leur autorisation et enregistrer leurs préférences de communication. Ces objets peuvent par exemple se servir des préférences client pour empêcher l’envoi d’e-mails ou le transfert des données client.
Restreindre le traitement de données sur la plateforme Salesforce
Salesforce Analytics vous permet de limiter le nombre d’actions qui peuvent être effectuées, dans le but de protéger et préserver les données client et de vous conformer au GDPR. En tant qu’entreprise, vous pouvez exporter, sauvegarder et annoter les données client pour empêcher leur traitement, lorsque la situation l’exige. La plateforme Salesforce propose pour cela les fonctions d’exportation de données ainsi que les API Restrict Contact qui permettent de le programmer.
Ces cas particuliers peuvent concerner des procédures judiciaires et des erreurs dans les données recueillies du côté du client, qui peuvent nous empêcher d’agir sur ces données tant que cela n’a pas été résolu.
Modifier et supprimer des données client
Salesforce vous permet d’être conforme aux réglementations, partout où la loi exige de modifier et supprimer les données, lorsque les clients le demandent ou lorsque vous n’êtes plus tenu de les conserver. Quelques exemples types : les anciens dossiers d’utilisateurs ou d’employés, l’historique de sessions passées, les journaux d’événements ou les données de recommandations.
Salesforce peut vous aider à être conforme à ces exemples de scénarios en activant les API REST, afin qu’elles identifient l’ensemble de ces contextes, orchestrations et réactions de recommandation à partir des données client, puis exportent ou suppriment ces données par la suite. Salesforce met à disposition une vaste palette d’actions permettant de modifier et de supprimer les données, telles que :
- Supprimer toutes les données sensibles de l’environnement sandbox et de production
- Permettre aux utilisateurs de la communauté ou du chat de désactiver leur compte à la demande
- Supprimer les instances d’orchestration qui contiennent des données client
- Permettre la suppression de toutes les données associées à un client ou à un admin
Activer la portabilité des données dans Salesforce
Le GDPR requiert des entreprises qu’elles permettent à leurs clients d’exporter leurs données dans leur intégralité. La plateforme Salesforce permet d’effectuer la portabilité des données via une API de portabilité, qui détecte et affiche tous les objets en lien avec le client, notamment les objets représentant des informations personnellement identifiables (PII). Une fois cette politique activée, l’API fournit des liens d’où le client peut télécharger et exporter ses informations en toute sécurité.
Pour activer les suppressions automatiques via l’application d’une politique, la dernière version de la plateforme (printemps 2021) vous permet également d’obtenir des rappels en temps opportun et de supprimer automatiquement les données client générées par cette API après 60 jours.
Conformité au GDPR dans Salesforce : une responsabilité proactive
Pour garantir la confidentialité des données de vos clients, vous devez donc, entre autres, activer les options mentionnées ci-dessus dans la plateforme Salesforce. Nous le savons, assurer sa conformité aux réglementations strictes du GDPR peut être stressant. Cependant, les différentes fonctions mentionnées ici sont des étapes essentielles pour garantir votre conformité et protéger un actif vital de votre entreprise : vos clients.
Dans un monde où les fuites de données sont quasi quotidiennes et où le vol de données client peut avoisiner les millions de dollars de dommages, il est devenu indispensable d’assurer la confidentialité des données. Chez Varonis, nous sommes pionniers dans la protection et la sécurité des données et sommes expérimentés dans la fourniture de solutions complètes de conformité au GDPR.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.