Dans le règlement européen sur la protection des données, RGPD, il est fait mention d’une obligation de définir une durée limite de conservation des données personnelles pour les PME/TPE.
Beaucoup d’entre vous ont reçu une information de Google Analytics sur la modification de la conservation des données. Et oui même si Google est un grand utilisateur des données personnelles, il n’en est pas moins l’un des plus respectueux. C’est pour cela que par rapport à sa mise en conformité RGPD, il doit définir dans ses outils la période de conservation.
Côté RGPD
Dans l’article 5, principe de limitation de la conservation des données : les données ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
En clair, si vous collectez des données, vous devez définir pour chacune d’elles, une finalité (un pourquoi) et la durée de conservation maximum. Ainsi si vous capturez l’adresse email d’un prospect sur votre site web, vous devez avoir une règle dans votre registre qui indique la durée de conservation de cette donnée.
Bien entendu dans ce cas précis qu’est l’acquisition de lead, la durée va dépendre de : si le lead interagit avec vous régulièrement, s’il devient client, s’il n’est plus client. En fait dans chaque étape de sa vie de lead (ou prospect) la durée de la conservation est définie.
Côté CNIL
Cette mesure n’est pas nouvelle, la CNIL dans sa déclaration simplifiée N°48 préconise une durée de conservation des informations liées à un prospect ou un client à 36 mois après sa dernière interaction avec vous.
Côté business
Savez-vous qu’il existe une règle des 10 % sur les fichiers prospects/clients : chaque année, vous perdez 10 % de fiches si vous ne maintenez votre fichier à jour.
Si vous avez un fichier de prospect avec par exemple 3 000 fiches, et que vous n’avez pas la capacité à interagir avec 1 000 d’entre eux chaque année, votre fichier d’année en année va s’épuiser, et les données contenues seront obsolètes.
La capture, facile
Vous devez maintenant, lorsque vous capturez une donnée, horodater le jour de l’acquisition. Sur des formulaires web, c’est très facile avec un champ caché, sur les CRM en règle générale vous avez la date de création de la fiche.
L’itération, plus compliquée
Lorsqu’il s’agit d’un contact humain, le commercial doit penser à noter dans le CRM la date de l’appel et un résumé de l’entretien (le standard, cela ne compte pas).
Lorsqu’il envoie un email, l’utilisation d’un système de tracking des emails permet de noter l’interaction (l’email a été ouvert).
Et comment gérer les interactions avec les réseaux sociaux, avec des outils souvent complexes et peu adaptés à la PME/TPE.
Mais si aucune trace n’est ajoutée, le contact doit être détruit au bout de 36 mois maxi.
La suppression, pas facile
Difficile que chaque mois, vous deviez purger votre fichier des prospects ayant plus de 36 mois sans interaction. Mais cela vous donnera une véritable visibilité sur votre vivier de prospects ou client perdus.
Comme Google Analitcs le propose, vous pouvez choisir le délai pour la suppression automatique :
- 14 mois
- 26 mois
- 38 mois
- 50 mois
- Aucune expiration automatique
Pour être conforme au RGPD et aux recommandations de la CNIL, vous pouvez choisir jusqu’à 38 mois, pour un fichier de prospects/clients d’une PME/TPE. Par défaut, c’est 26 mois qui est défini.
Menu : Administration/Information de suivi/Conservation des données
L’export de données, délicat
Une personne peut vous contacter via l’adresse email que vous avez mise en place, pour que vous lui communiquiez les données personnelles que vous avez en votre possession.
- Les données du CRM, de la gestion, c’est très facile.
- Les données du logiciel d’emails, un peu plus complexe.
- Les données de statistique de visite du site web, cela devient plus complexe. Comment identifier une personne sur la base d’un cookie. Car si cette personne ne s’est jamais inscrite, vous ne connaissez pas son identité. Et si son adresse IP change toutes les 24 heures, il devient pratiquement impossible de retrouver les informations.
Sur ce point, le travail du G29 et des fournisseurs de service va devenir très intéressant. Est-il possible de considérer qu’un cookie et une adresse IP représentent une donnée personnelle à lui seul, ou peuvent-ils être considérés comme des données anonymisées ? En parlant bien sûr d’adresse IP attribuée automatiquement par le FAI (orange, free, etc), et pas d’adresse IP fixe.
Ce qui me pose encore une autre question, lorsqu’une demande est faite sur les données, doit-on, et a-t-on le droit, de demander l’adresse IP fixe du demandeur ?
Google et les autres
Comme souvent Google est avancé, et nous propose une solution sur Google Analytics. Moi qui suit aussi utilisateur de Zoho SalesIQ, je n’ai pas encore vu ce type d’option dans leur configuration.
Si vous souhaitez connaitre les durées de conservation définie par la CNIL, vous pouvez consulter le document ici