CRM et RGPD : comment choisir une solution vraiment conforme

Comment s'assurer que votre CRM est conforme RGPD ? Hébergement, consentement, droit à l'oubli, sous-traitants : les critères qui comptent vraiment.

IF

Équipe InfoFlux

InfoFlux

01/03/2025 6 min de lecture

Le RGPD est entré en application en 2018, et pourtant de nombreuses PME n'ont toujours pas vérifié si leur CRM est conforme. Ce n'est pas de la négligence — c'est souvent de la confusion. Qu'est-ce que la conformité RGPD implique concrètement pour un outil de gestion de la relation client ? Quelles questions poser à son éditeur ? Et que risque-t-on vraiment ?

Voici un guide pratique, sans jargon juridique excessif, pour évaluer la conformité RGPD de votre CRM.

Ce que le RGPD exige pour un CRM

Un CRM stocke et traite des données personnelles : noms, emails, numéros de téléphone, historiques d'échanges, informations professionnelles de vos contacts. En tant qu'entreprise qui traite ces données, vous êtes "responsable de traitement" au sens du RGPD. Votre éditeur CRM est un "sous-traitant".

Base légale du traitement : vous devez avoir une base légale pour stocker et traiter ces données. Pour une relation commerciale B2B, c'est généralement l'intérêt légitime (prospecter des professionnels) ou l'exécution d'un contrat. Pour des données sensibles ou des contacts B2C, le consentement peut être nécessaire.

Minimisation des données : vous ne devez stocker que les données nécessaires à votre usage. Saisir systématiquement la date de naissance ou la situation familiale de vos prospects sans utilité commerciale est un problème.

Droit à l'oubli : si un contact vous demande la suppression de ses données, vous devez pouvoir l'exécuter dans un délai raisonnable. Votre CRM doit permettre la suppression complète d'un contact — pas seulement son archivage.

Registre des traitements : le RGPD impose aux entreprises de tenir un registre des activités de traitement. Votre CRM doit y figurer, avec l'identité du sous-traitant, la localisation des données, les finalités du traitement et les mesures de sécurité en place.

Durée de conservation : vous devez définir combien de temps vous conservez les données de prospects non convertis. Une règle courante : 3 ans après le dernier contact actif.

Les 4 questions à poser à votre éditeur CRM

1. Où sont physiquement hébergées mes données ? La réponse doit être précise : pays, région, éventuellement nom du datacenter. "Dans le cloud" n'est pas une réponse acceptable. Si les données sont hébergées hors UE (aux USA notamment), demandez quelles garanties contractuelles sont en place (Clauses Contractuelles Types, etc.) et leur validité au regard de la jurisprudence actuelle.

2. Qui sont vos sous-traitants ? Votre éditeur CRM peut lui-même avoir des sous-traitants (hébergement, email transactionnel, CDN, support). Chaque sous-traitant peut traiter une partie de vos données. Vous avez le droit de connaître leur identité et leur localisation.

3. Proposez-vous un DPA (Data Processing Agreement) ? Un DPA, ou Accord de Traitement des Données, est un contrat qui encadre les obligations de votre sous-traitant en matière de RGPD. Tout éditeur CRM sérieux doit être en mesure de vous fournir ce document. Son absence est un signal d'alerte.

4. Comment gérez-vous les demandes de droit à l'oubli ? L'outil permet-il de supprimer complètement les données d'un contact (pas seulement de le désactiver) ? La suppression s'applique-t-elle aussi aux sauvegardes ? Dans quel délai ?

Ce qu'Infomaniak garantit

Infomaniak a fait de la souveraineté des données et de la conformité RGPD un axe stratégique de son positionnement. Concrètement :

  • Hébergement exclusivement en Suisse : aucun transfert de données vers des pays tiers. Les serveurs sont dans les datacenters d'Infomaniak, situés en Suisse.
  • Aucun actionnaire ou investisseur américain : Infomaniak n'est pas soumis au CLOUD Act américain, contrairement à des filiales ou partenaires de grands groupes US.
  • DPA disponible : un Accord de Traitement des Données est signable avec Infomaniak pour toute relation commerciale.
  • Rapport de transparence annuel : Infomaniak publie chaque année le nombre de demandes d'accès reçues des autorités et les suites données.
  • Droit à l'oubli opérationnel : la suppression d'un contact dans InfoFlux est complète et irréversible, et s'applique aux données actives.

Pour une PME, travailler avec un éditeur qui prend en charge ces garanties simplifie considérablement la rédaction du registre des traitements et la démonstration de conformité en cas de contrôle.

Découvrir InfoFlux →

Cet article vous a été utile ?

Prêt à tester InfoFlux ?

14 jours gratuits, sans carte bancaire, connecté à Infomaniak.

Démarrer l'essai gratuit