Le CRM est un registre de traitement
Premiere chose a comprendre : votre CRM est, au sens du RGPD, un traitement de donnees personnelles. Chaque contact stocke, chaque email tracke, chaque note de call est une donnee personnelle soumise a la reglementation. Et vous etes le responsable de traitement.
Ce que ca implique concretement :
- Vous devez documenter le traitement. Finalite (prospection commerciale), categories de donnees (coordonnees, historique), destinataires (equipe commerciale, sous-traitants), duree de conservation. C'est l'article 30 du RGPD : le registre des traitements.
- Vous devez avoir une base legale. Pour chaque traitement, vous devez justifier pourquoi vous avez le droit de stocker et utiliser ces donnees. En B2B, c'est generalement l'interet legitime ou le consentement.
- Vous devez respecter les droits des personnes. Droit d'acces, de rectification, de suppression, de portabilite. Si un prospect vous demande quelles donnees vous avez sur lui, vous devez pouvoir repondre en 30 jours.
La bonne nouvelle : si votre CRM est bien configure, la plupart de ces obligations sont gerees automatiquement. La mauvaise : la plupart des CRM ne sont pas bien configures.
Les bases legales pour la prospection B2B
En B2B, deux bases legales sont principalement utilisees pour justifier le traitement des donnees dans un CRM. Le choix depend du contexte et du type de prospection.
Interet legitime (Article 6.1.f)
- Base legale la plus courante en B2B
- Applicable quand le prospect a un lien avec votre activite
- Pas besoin de consentement prealable
- Doit etre documente (balance des interets)
- Le prospect doit pouvoir s'opposer facilement
- Valable pour : cold email, prospection LinkedIn, appels
Consentement (Article 6.1.a)
- Necessaire pour le marketing automatise (newsletters)
- Doit etre libre, eclaire, specifique et univoque
- Peut etre retire a tout moment
- Preuve du consentement a conserver
- Double opt-in recommande
- Valable pour : newsletters, nurturing, retargeting
La nuance B2B. En France, la CNIL considere que la prospection B2B par email est possible sans consentement prealable a condition que le message soit en rapport avec la fonction professionnelle du destinataire et qu'un lien de desinscription soit present. C'est l'interet legitime qui s'applique.
Attention aux newsletters. Des que vous envoyez du contenu marketing regulier (newsletter, nurturing sequences), le consentement est requis. L'interet legitime ne couvre pas l'envoi repete de contenu marketing a quelqu'un qui n'a pas souscrit explicitement.
La documentation. Quelle que soit la base legale choisie, documentez-la. Pour l'interet legitime, redigez une balance des interets (vos interets commerciaux vs les droits du prospect). Pour le consentement, conservez la preuve (date, heure, source, texte du consentement).
La duree de conservation des donnees
Le RGPD impose de ne conserver les donnees que pour la duree necessaire a la finalite du traitement. En clair : vous ne pouvez pas garder un contact dans votre CRM indefiniment si vous n'avez plus de raison de le faire.
Voici les durees de conservation recommandees par la CNIL pour les donnees commerciales B2B :
Durees de conservation recommandees
A compter du dernier contact (email, appel, LinkedIn)
A compter de la derniere interaction (reponse, clic, meeting)
Tant que le contrat est en cours + 3 ans apres la fin
A compter de la fin de la relation commerciale
Obligation legale (Code de commerce)
A compter du retrait du consentement
En pratique. La plupart des CRM B2B contiennent des contacts qui n'ont pas ete contactes depuis plus de 3 ans. Ces contacts doivent etre supprimes ou anonymises. C'est la partie la plus douloureuse de la mise en conformite car les equipes commerciales detestent supprimer des contacts. Mais c'est la loi.
L'automatisation de la purge. Dans HubSpot, vous pouvez creer un workflow qui identifie automatiquement les contacts inactifs depuis plus de 3 ans et les supprime ou les anonymise. C'est la seule facon de maintenir la conformite dans le temps sans intervention manuelle.
Les droits des personnes
Chaque personne dont les donnees sont dans votre CRM a des droits garantis par le RGPD. Vous devez etre en mesure de les exercer dans un delai de 30 jours.
Le prospect peut demander quelles donnees vous detenez sur lui. Vous devez fournir une copie complete de toutes les donnees : coordonnees, historique d'interactions, notes, scores, listes de segmentation. Dans HubSpot, l'export d'un contact genere un fichier complet.
Si une donnee est incorrecte, le prospect peut demander sa correction. Email errone, nom mal orthographie, titre de poste obsolete. Le delai est de 30 jours, mais en pratique vous devez le faire immediatement.
Le prospect peut demander la suppression de toutes ses donnees. C'est le droit le plus redoute par les equipes commerciales. Mais il est non negociable. Dans HubSpot, la suppression RGPD est irréversible et supprime toutes les donnees associees.
Le prospect peut demander ses donnees dans un format exploitable (CSV, JSON) pour les transferer a un autre prestataire. En pratique, c'est rare en B2B, mais vous devez pouvoir le faire.
Le prospect peut s'opposer au traitement de ses donnees pour la prospection. C'est le lien de desinscription dans vos emails. Une fois l'opposition exprimee, vous devez cesser tout contact commercial.
Le process a mettre en place. Designez une personne responsable des demandes RGPD (souvent l'ops ou le DPO). Creez un email dedie (rgpd@votreentreprise.com). Documentez chaque demande et chaque reponse. Le delai de reponse est de 30 jours maximum, mais visez 48 heures pour les demandes simples.
Comment configurer HubSpot pour la conformite
HubSpot dispose de fonctionnalites RGPD natives qui couvrent la majorite des obligations. Mais elles ne sont pas activees par defaut. Voici les 6 configurations essentielles.
Dans Settings > Privacy & Consent > GDPR, activez le toggle 'Turn on GDPR functionality'. Ca active les bases legales, le suivi du consentement et les options de suppression RGPD sur chaque contact.
Pour chaque type de communication (marketing, ventes, operations), definissez la base legale par defaut. Pour les contacts importes manuellement : interet legitime. Pour les souscriptions newsletter : consentement.
Activez le double opt-in pour les formulaires de souscription. Le prospect recoit un email de confirmation et doit cliquer pour valider. Ca constitue la preuve de consentement la plus solide.
Verifiez que tous vos templates email contiennent un lien de desinscription fonctionnel. HubSpot l'ajoute automatiquement sur les emails marketing, mais verifiez aussi vos sequences de vente.
Creez un workflow qui identifie les contacts sans activite depuis 3 ans (aucune ouverture email, aucune visite site, aucune reponse) et les supprime automatiquement ou les deplace dans une liste de review.
Configurez la banniere de consentement cookies de HubSpot pour etre conforme. Le tracking ne doit commencer qu'apres le consentement explicite du visiteur. Pas de pre-cochage.
Les erreurs RGPD les plus courantes en B2B
En 9 ans d'accompagnement CRM, on voit les memes erreurs RGPD se repeter. La plupart sont dues a un manque de formation, pas a une volonte de non-conformite.
Acheter une base de 10 000 contacts a un fournisseur et les importer dans votre CRM. Si ces contacts n'ont pas consenti a recevoir vos communications, c'est une violation du RGPD. L'interet legitime ne s'applique pas aux bases achetees car il n'y a aucun lien prealable entre vous et ces contacts.
Envoyer des emails de prospection sans lien de desinscription. Meme en B2B, meme en one-to-one, un mecanisme d'opposition doit etre present. Un simple 'Si vous ne souhaitez plus recevoir nos messages, repondez STOP' suffit dans les emails individuels.
Un prospect repond 'supprimez mes donnees' a votre email de prospection. Le SDR ignore le message. C'est une violation caracterisee. Chaque demande de suppression doit etre traitee dans les 30 jours. Formez vos equipes a reconnaitre et escalader ces demandes.
Le registre des traitements est obligatoire pour toute entreprise de plus de 250 salaries, et pour toute entreprise qui traite des donnees de maniere non occasionnelle (ce qui inclut tout CRM). Sans registre, vous etes en infraction des le premier controle.
RGPD et IA : ce qu'il faut savoir
L'utilisation de l'IA dans le CRM ajoute une couche de complexite RGPD. Quand vous envoyez des donnees de contacts a une API IA pour du scoring, de l'enrichissement ou de la personnalisation, vous effectuez un transfert de donnees vers un sous-traitant.
Le contrat de sous-traitance. Chaque fournisseur d'IA (Anthropic, OpenAI, etc.) doit etre couvert par un Data Processing Agreement (DPA). Ce document definit les conditions de traitement : finalite, duree, mesures de securite, localisation des donnees. La plupart des fournisseurs majeurs proposent un DPA standard. Verifiez qu'il est signe.
Le transfert hors UE. Si votre fournisseur IA traite les donnees aux Etats-Unis, vous devez vous assurer que le transfert est encadre par le Data Privacy Framework (DPF) ou des clauses contractuelles types. Depuis juillet 2023, le DPF encadre les transferts vers les entreprises americaines certifiees.
Le scoring automatise. Le RGPD encadre les decisions automatisees (article 22). Si votre lead scoring IA determine automatiquement quels prospects sont contactes et lesquels sont ignores, le prospect a le droit de demander une intervention humaine. En pratique, assurez-vous qu'un humain valide les decisions critiques prises par l'IA.
La minimisation des donnees. N'envoyez a l'IA que les donnees strictement necessaires au traitement. Pour personnaliser un email, l'IA n'a pas besoin du numero de telephone ou de l'historique complet des interactions. Filtrez les champs avant l'envoi a l'API.
L'AI Act europeen. Le reglement europeen sur l'IA, entre en vigueur progressivement depuis 2025, impose des obligations supplementaires pour les systemes IA a haut risque. Le scoring et la prise de decision automatisee en font partie. Restez informes des evolutions reglementaires.
Checklist conformite RGPD pour votre CRM
Voici la checklist que l'on utilise chez Ceres pour auditer la conformite RGPD d'un portail CRM. 15 points a verifier, regroupes en 4 categories.
Documentation
- Registre des traitements a jour
- Balance des interets documentee (interet legitime)
- Politique de confidentialite publiee sur le site
- DPA signe avec chaque sous-traitant (CRM, IA, enrichissement)
Configuration CRM
- Mode RGPD active dans HubSpot
- Bases legales definies par type de communication
- Double opt-in active pour les formulaires
- Banniere cookies conforme
Operations
- Lien de desinscription dans tous les emails
- Process de traitement des demandes RGPD documente
- Workflow de purge des contacts inactifs (3 ans)
- Formation equipe sur les obligations RGPD
IA & Donnees
- DPA signe avec le fournisseur IA
- Minimisation des donnees envoyees a l'IA
- Intervention humaine sur les decisions automatisees critiques
Si vous cochez les 15 points, votre CRM est en conformite RGPD. Si vous en cochez moins de 10, un audit s'impose. La mise en conformite prend generalement 1 a 2 semaines et evite des sanctions qui peuvent atteindre 4% de votre chiffre d'affaires.
Chez Ceres, l'audit RGPD fait partie de chaque projet CRM. On ne deploie pas un portail HubSpot sans verifier la conformite. C'est la base, pas un extra.
Auditer la conformite RGPD de votre CRM ?
Chez Ceres, on audite la conformite RGPD de votre portail CRM et on met en place les configurations, workflows et process necessaires. Un appel de 30 minutes pour evaluer votre situation.
Auditer ma conformite RGPD