• Accueil / Salesforce / Votre Salesforce est-il…
, Votre Salesforce est-il conforme au RGPD ? 5 domaines que vous devriez cibler dans votre organisation<span class="wtr-time-wrap after-title"><span class="wtr-time-number">11</span> minutes de lecture</span>

Votre Salesforce est-il conforme au RGPD ? 5 domaines que vous devriez cibler dans votre organisation11 minutes de lecture


Si votre organisation fonctionne sur Salesforce.com Technologies, vous pariez sur le bon cheval en termes de normes de sécurité de plate-forme – mais avez-vous couvert tous les principes de conformité GDPR nécessaires depuis votre configuration initiale ?

Un nombre croissant d’entreprises ont réorganisé leurs efforts en matière de confidentialité afin de se conformer à la réglementation GDPR, qui est en place depuis mai 2018. Avec des amendes allant jusqu’à 20 millions € ou 4% du chiffre d’affaires annuel, la non-conformité peut être un piège coûteux .

, Votre Salesforce est-il conforme au RGPD ? 5 domaines que vous devriez cibler dans votre organisation<span class="wtr-time-wrap after-title"><span class="wtr-time-number">11</span> minutes de lecture</span>

Cependant, ce ne sont pas seulement les répercussions juridiques et financières qui motivent les entreprises à examiner de plus près leur programme de conformité en matière de confidentialité. C’est aussi le marché qui pousse les entreprises à considérer la confidentialité comme un avantage stratégique pour gagner la confiance des clients et avoir un avantage sur leurs concurrents. Selon Parker Harris, cofondateur de Salesforce, « Rien n’est plus important pour notre entreprise que la confidentialité des données de nos clients ». Le PDG de Salesforce, Marc Benioff, estime que la confiance est la devise essentielle pour toute entreprise ou institution et que les PDG doivent devenir des activistes pour que leurs parties prenantes renforcent la confiance. En regardant certains des Documentation sur la sécurité, la confidentialité et l’architecture, Salesforce marche définitivement en termes d’audits et de certifications.

Il est sûr de dire que Salesforce a construit le Fort Knox de la sécurité des données.

Cela étant dit, la conformité ne s’arrête pas là. La protection des données de vos clients contre les violations n’est qu’une des nombreuses exigences auxquelles les organisations doivent se conformer. Malheureusement, vous n’êtes pas encore décroché.

Par définition, le RGPD fournit un cadre juridique qui définit des lignes directrices pour la collecte et le traitement des informations personnelles des individus dans l’Union européenne (UE).

Alors pourquoi la conformité au RGPD est-elle un problème si important pour les utilisateurs finaux de Salesforce ?

Parce que Salesforce est conçu pour faire exactement cela : collecter et traiter des données personnelles pour fournir à votre entreprise une vue à 360 degrés de votre client et « vous connecter avec eux d’une toute nouvelle manière » tout en gardant un œil sur la productivité de vos ventes et de vos clients. employés de service.

Voici 5 domaines que vous devriez examiner de plus près lors de l’évaluation du niveau de conformité GDPR de votre organisation Salesforce :

1. Accord de traitement des données avec Salesforce

Commençons par les choses faciles.

Salesforce, de par sa conception, traite les données au nom de votre organisation. Le transfert de données personnelles à un tiers (dans ce cas Salesforce.com) est admissible en vertu du RGPD tant que certaines conditions sont remplies.

De manière générale, le responsable du traitement (votre entreprise) est tenu de s’assurer que votre hébergeur de données (Salesforce.com) n’utilise pas les données personnelles transférées à des fins professionnelles.

En bref : Salesforce n’est pas autorisé à exploiter vos enregistrements de contacts et de comptes personnels à des fins commerciales.

Il est assez évident de dire qu’ils ne le feront pas, mais pour être sûr et pour votre propre documentation, vous devez vous assurer de signer un accord de traitement des données avec Salesforce.

Salesforce fournit un modèle à cet effet disponible ici. https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/Agreements/data-processing-addendum.pdf

2. Concept d’accès – Accès aux enregistrements basé sur le principe du besoin de savoir

L’une des premières amendes importantes en vertu du RGPD (400 000,00 EUR) a été infligée à un hôpital au Portugal qui gérait mal les droits d’accès au système d’information interne de l’hôpital. Les données sensibles des patients ont été exposées à un nombre important d’utilisateurs sans objectif commercial légitime.

Au cours des 4,5 dernières années, j’ai été consultant pour des dizaines d’entreprises exécutant leurs opérations commerciales sur la plate-forme Salesforce. Une observation constante est que les choses peuvent rapidement devenir compliquées, en particulier pour les organisations avec un degré élevé de personnalisation et une base d’utilisateurs importante. Il est toujours plus facile d’attribuer rapidement des droits d’administrateur à un utilisateur (qui peut ensuite voir, modifier et exporter n’importe quel enregistrement au sein de l’organisation) que de résoudre les problèmes de visibilité et d’accès ad hoc pour les utilisateurs individuels. Cela est particulièrement vrai pour les entreprises qui continuent d’innover et de prototyper de nouvelles unités commerciales au sein de leur configuration technique existante.

La bonne nouvelle est que, prête à l’emploi, Salesforce propose des fonctionnalités de pointe dans ses paramètres de sécurité à administrer, quel utilisateur actif peut voir, modifier et exporter ce qui se trouve dans votre Salesforce-Org, à un niveau granulaire.

La mauvaise nouvelle est que vous devrez investir des efforts et de la discipline dans la définition et le respect d’un concept de rôles et de profil. Cela peut être une tâche fastidieuse, mais une étape cruciale dans la quête de la conformité GDPR.

Un concept de rôle de base peut commencer par l’attribution de rôles tels que :

  • Management et Salesforce-Admins (droits d’accès étendus)
  • Middle Management (droits d’accès aux informations pertinentes pour leur business unit)
  • Employé (droits d’accès les moins étendus limités aux informations concernant leurs prospects/contacts/comptes)

Mon conseil : ne surchargez pas l’ingénierie de Salesforce. Le RGPD n’a pas l’intention de compliquer votre entreprise de manière disproportionnée, tant que vous avez une raison légitime d’attribuer des droits d’accès raisonnables au sein de votre entreprise. Vous n’êtes pas obligé d’étouffer le flux d’informations au sein de votre organisation.

3. Appexchange ISV Applications

87 % des clients de Salesforce exploitent les applications ISV (Independent Software Vendors) qui peuvent être trouvées, achetées et installées via Salesforce Appexchange.

En ce qui concerne la décision Build vs Buy, l’Appexchange est à juste titre considéré comme un changeur de jeu, faisant pencher la balance en faveur de Buy. J’ai rencontré des entreprises tirant parti de +40 applications individuelles pour remplir des objectifs commerciaux spécifiques dans une seule organisation.

D’une part, cela est évidemment excellent en termes de délai de mise sur le marché et de planification des liquidités, car les entreprises n’auront pas de cycles de développement longs et coûteux pour créer des applications personnalisées. D’un autre côté, en ce qui concerne le RGPD, chaque application ISV consommant activement des données personnelles de votre organisation Salesforce peut présenter un risque de conformité pour votre organisation. En supposant que Salesforce soit utilisé dans le but défini de gérer toutes vos interactions avec les clients, la grande majorité des applications Appexchange sont conçues pour traiter les données personnelles sous une forme ou une autre.

Rappelez-vous ce qui a été dit concernant le transfert de vos données personnelles à des tiers (voir ci-dessus au point 1). Oui, vous aurez besoin d’un accord de traitement des données avec chacun de vos fournisseurs ISV. Ce sera long et fastidieux si vous utilisez de nombreuses applications. Pour rendre les choses encore plus compliquées, j’ai vu de nombreux accords de traitement des données de fournisseurs ISV qui ne respectent pas les exigences du RGPD énoncées dans la loi.

Malheureusement, les accords de traitement des données ne sont pas une « potion » magique de conformité. Vous devrez également évaluer si le fournisseur ISV est solide en matière de sécurité informatique. Un bon indicateur d’un bon niveau de sécurité informatique d’un fournisseur SaaS est une certification ISO 27001 qui peut être considérée comme la norme internationale actuelle en matière de sécurité informatique.

Une recommandation de processus de haut niveau pour résumer :

Si vous avez identifié un produit ISV qui résoudra un défi commercial spécifique pour votre organisation, vérifiez d’abord les informations concernant les normes de sécurité informatique actuelles du fournisseur. Si aucune information n’est disponible publiquement, demandez-la au fournisseur. S’il est satisfaisant, demandez l’accord de traitement des données avant de signer un contrat ou d’installer dans votre organisation (cela est également valable pour les comptes freemium ou démo). Demandez toujours à votre consultant RGPD de vérifier l’accord de traitement des données à la recherche de failles et d’inexactitudes. Si tout est légitime, allez-y.

N’oubliez pas de l’appliquer à chaque nouvelle application ISV. Si vous avez déjà des applications en ligne, travaillez à rebours.

4. Confidentialité dès la conception

Chaque jour, de nouveaux clients transfèrent leurs opérations commerciales vers la plate-forme Salesforce tandis que les clients existants tirent parti de l’agilité de la technologie pour innover et prototyper de nouvelles sources de revenus.

Que vous effectuiez une nouvelle implémentation ou que vous itériez sur votre organisation Salesforce existante, il vous est conseillé de suivre le principe de « privacy by design ». Ce principe exige que vous preniez en compte les aspects de protection des données dès les premiers stades de développement qui seront utilisés pour traiter les données personnelles dans le cadre de vos opérations commerciales.

Votre entreprise est obligée de développer une technologie « respectueuse de la vie privée » en incluant des fonctionnalités qui prennent en compte les risques pour les données des individus. mais qu’est-ce que cela signifie en pratique?

Gardez ces choses à l’esprit dès le départ :

  • Mon délégué à la protection des données/avocat chargé de la protection de la vie privée est-il impliqué dans la mise en œuvre du système ?
  • Les données personnelles traitées sont-elles sécurisées en termes de sécurité informatique (mise en œuvre de mesures techniques et organisationnelles) ?
  • Ne traitons-nous que les données personnelles dont nous avons réellement besoin (« minimisation des données ») ?
  • Pouvons-nous supprimer les données personnelles qui ne sont plus nécessaires (« limitation de stockage ») ?

Consultez cette directive rédigée par l’Agence de l’Union européenne pour la sécurité des réseaux et de l’information («ENISA») pour plus d’informations pratiques. https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design

5. Droits des personnes concernées

L’objectif principal du RGPD est de renforcer les droits des personnes concernées dans le monde commercial. Une personne concernée est tout être humain dont les données sont collectées, quel que soit le but de la collecte des données. Il peut s’agir de n’importe quel client, partenaire ou employé. Ainsi, dans la terminologie Salesforce, nous parlons d’enregistrements de piste, de contact ou de compte personnel.

En conséquence, le RGPD accorde aux personnes concernées les droits suivants (mais sans s’y limiter) en ce qui concerne leurs données personnelles :

  • Droit d’accès – les individus ont le droit d’accéder aux données collectées sur eux par un responsable du traitement. Le responsable du traitement doit répondre à cette demande dans les 30 jours.
  • Droit de rectification – les individus peuvent demander la rectification de fausses données dans le système. Êtes-vous en mesure de modifier les champs de données pertinents qui pourraient être incorrects ?
  • Droit à l’effacement – ​​les individus peuvent demander la suppression des données. Avez-vous mis en place une politique de rétention ?
  • Droit à la portabilité des données – une personne peut exiger l’extraction de données personnelles dans un format lisible par machine en vertu du RGPD. Il s’agit d’une nouveauté dans le cadre de la nouvelle réglementation et visait à faciliter le changement de fournisseur de services (à l’origine, cela visait à briser le monopole des données de Facebook, mais désormais, chaque contrôleur de données est tenu de pouvoir répondre à une telle demande).

Que vous exécutiez un modèle B2B ou B2C, vous voudrez certainement comprendre comment vous pouvez automatiser des processus spécifiques de droits des personnes concernées au sein de votre organisation Salesforce afin de rester efficace dans vos opérations quotidiennes.

Si vous n’utilisez que les produits principaux de Salesforce (c’est-à-dire Sales Cloud, Service Cloud), cela peut être simple. Si vous utilisez +40 applications ISV qui traitent des données personnelles en dehors de Salesforce, il y a de fortes chances que ce ne soit pas simple.

Si vous vous trouvez dans la deuxième situation, je vous recommande fortement de parler avec votre partenaire de mise en œuvre et votre consultant GDPR pour élaborer des processus conformes et les mettre en œuvre dès que possible.

Sommaire

Le RGPD et le CRM sont profondément liés, et cet article ne fait qu’effleurer la surface. Vous aurez probablement encore un long chemin à parcourir dans votre quête de conformité GDPR – mais n’oubliez pas : Rome ne s’est pas construite en un jour. Tant que vous travaillez activement à la conformité au RGPD, vous êtes sur la bonne voie ; Assurez-vous simplement que votre entreprise couvre les domaines susmentionnés lorsque vous êtes en train de mettre en œuvre, d’itérer ou d’étendre votre paysage Salesforce.

Vous êtes complètement perdu ou avez une question précise ? N’hésitez pas à nous contacter directement sur le Site Web simplifié.

Restez à l’écoute pour la partie 2, où nous révélerons 5 autres domaines que vous devriez cibler pour vous préparer à la conformité GDPR.



Source de l’article traduit automatiquement en Français

Besoin d'aide ?
Vous utilisez Pardot depuis un certain temps mais vous n'êtes pas sûr d'en
exploiter tout le potentiel

Notre analyse de votre Pardot offerte dès aujourd'hui
Merci, vous pouvez compléter notre questionnaire
Nous allons revenir vers vous rapidement !

Fermer