Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Utiliser Salesforce Analytics pour la conformité au GDPR

La conformité au GDPR peut être source de stress. Dans ce guide, découvrez comment utiliser Salesforce Analytics pour vous conformer aux réglementations du GDPR à travers des cas d’utilisation courants.
Radhe Varun
5 minute de lecture
Publié 29 avril 2021
Dernière mise à jour 5 octobre 2023

272 millions d’euros.

C’est le montant total des amendes imposées par l’Union européenne aux entreprises pour non-conformité au GDPR, infractions sur les données et violations de la protection des données, depuis l’entrée en vigueur du GDPR en mai 2018. Sans surprise, les entreprises de toutes tailles ont dû investir beaucoup de temps et d’argent dans leur système informatique, afin de s’assurer qu’elles répondent aux réglementations les plus strictes du GDPR. Une grande partie de ces investissements sert à sécuriser et gérer leur source de référence absolue en matière de données client sur l’ensemble de leur écosystème informatique. Et sur le marché 2020-2021, cette source, c’est Salesforce.

Si vous utilisez Salesforce comme outil de CRM et que vous cherchez des conseils pour renforcer votre conformité au GDPR en 2021, ce guide est fait pour vous. Nous allons vous montrer comment Salesforce Analytics peut fournir à vos clients les garanties que vous traitez et gérez leurs données de façon responsable.

Salesforce est-il conforme au GDPR ?

Pour faire court, oui, absolument.

En tant qu’entreprise dédiée au traitement de données client, Salesforce fournit des fonctionnalités complètes de contrôle pour traiter les requêtes sur les données et gérer les données en toute sécurité pour tous les processus métier, tout au long du cycle de vie du client. De plus, Salesforce fournit également une annexe complète sur le traitement des données, qui couvre tous les accords de transferts de données pour les politiques de protection des données approuvées par l’UE.

Mais même si Salesforce, en tant que plateforme, offre toutes ces garanties pour être conforme au GDPR, il est, en fin de compte, de votre responsabilité en tant qu’entreprise de traiter les données de vos clients avec le plus de soin possible. Cela signifie aussi que votre responsabilité s’étend à tous vos systèmes informatiques ainsi qu’à la façon dont vos partenaires et équipes en contact avec vos clients gèrent leurs processus métier vis-à-vis de ces données.

Voyons plus précisément les différents aspects de la conformité au GDPR dans le cadre du parcours client en ligne d’une entreprise. Au cours de celui-ci, il existe trois situations dans lesquelles l’entreprise doit traiter des données client, à savoir :

Visiteur

À ce stade, le client est un visiteur et se renseigne sur une entreprise. Le GDPR stipule que nous devons être conformes aux réglementations suivantes :

Consentement : s’assurer que l’on demande et que l’on enregistre de manière formelle le consentement du client concernant la collecte et l’enregistrement de ses données.

Sécurité et transparence : s’assurer qu’il y ait une mention de bonne foi sur la finalité, l’approche et la nature des données client enregistrées, et que l’accès à ces dernières soit géré de manière sécurisée.

Client/visiteur régulier

Dans cette phase, le client est un visiteur régulier, un prospect ou un client existant de l’entreprise. Le GDPR stipule que nous devons être conformes aux réglementations suivantes :

Accès à l’information : les clients doivent avoir le droit d’accéder à leurs données et de voir ce qui est enregistré et stocké pendant une période de 30 jours.

Objections aux données et modifications : les clients peuvent émettre des objections sur la manière dont leurs données sont utilisées et peuvent demander à corriger les informations incorrectes.

Notifications : les clients doivent être informés si leurs données sont exposées dans une violation de données, dans les 72 heures qui suivent la confirmation de cette faille.

Ancien client/client inactif

Droit à l’oubli : les clients ont le droit de réclamer la suppression de leurs données dans le cadre d’une demande volontaire de cessation de relation avec l’entreprise.

Portabilité des données : les clients peuvent émettre des requêtes pour demander à l’entreprise d’exporter l’ensemble de leurs données.

Comment utiliser Salesforce Analytics pour être conforme au GDPR

Dans la section précédente, nous avons vu les différents aspects de la conformité au GDPR pour accéder, stocker et gérer les données client selon leur position dans le parcours client. Nous allons maintenant voir comment Salesforce Analytics nous permet de respecter les réglementations du GDPR dans chacun de ces cas.

Gérer les consentements dans Salesforce

Salesforce vous permet de satisfaire les requêtes des clients sur la façon dont vous, en tant qu’entreprise, utilisez leurs données. La plateforme Salesforce prend en charge le GDPR et les lois de protection des données particulières à un pays, comme le CCPA aux États-Unis et le CASL au Canada. Les cas les plus courants sont l’implémentation de préférences en matière de confidentialité des données pour gérer la confidentialité du client, sous la forme d’Objets de gestion du consentement.

Ces objets nous permettent d’établir un historique concernant les autorisations et de gérer les modes de communication pour que les clients puissent, respectivement, fournir leur autorisation et enregistrer leurs préférences de communication. Ces objets peuvent par exemple se servir des préférences client pour empêcher l’envoi d’e-mails ou le transfert des données client.

options de recueil du consentement dans le flow salesforce

Restreindre le traitement de données sur la plateforme Salesforce

Salesforce Analytics vous permet de limiter le nombre d’actions qui peuvent être effectuées, dans le but de protéger et préserver les données client et de vous conformer au GDPR. En tant qu’entreprise, vous pouvez exporter, sauvegarder et annoter les données client pour empêcher leur traitement, lorsque la situation l’exige. La plateforme Salesforce propose pour cela les fonctions d’exportation de données ainsi que les API Restrict Contact qui permettent de le programmer.

Exemple d’API REST pour restreindre le traitement d’identifiants spécifiques

Ces cas particuliers peuvent concerner des procédures judiciaires et des erreurs dans les données recueillies du côté du client, qui peuvent nous empêcher d’agir sur ces données tant que cela n’a pas été résolu.

Modifier et supprimer des données client

Salesforce vous permet d’être conforme aux réglementations, partout où la loi exige de modifier et supprimer les données, lorsque les clients le demandent ou lorsque vous n’êtes plus tenu de les conserver. Quelques exemples types : les anciens dossiers d’utilisateurs ou d’employés, l’historique de sessions passées, les journaux d’événements ou les données de recommandations.

Salesforce peut vous aider à être conforme à ces exemples de scénarios en activant les API REST, afin qu’elles identifient l’ensemble de ces contextes, orchestrations et réactions de recommandation à partir des données client, puis exportent ou suppriment ces données par la suite. Salesforce met à disposition une vaste palette d’actions permettant de modifier et de supprimer les données, telles que :

  • Supprimer toutes les données sensibles de l’environnement sandbox et de production
  • Permettre aux utilisateurs de la communauté ou du chat de désactiver leur compte à la demande
  • Supprimer les instances d’orchestration qui contiennent des données client
  • Permettre la suppression de toutes les données associées à un client ou à un admin

Exemple d’API REST pour obtenir et supprimer les données sur les réactions de recommandation

Activer la portabilité des données dans Salesforce

Le GDPR requiert des entreprises qu’elles permettent à leurs clients d’exporter leurs données dans leur intégralité. La plateforme Salesforce permet d’effectuer la portabilité des données via une API de portabilité, qui détecte et affiche tous les objets en lien avec le client, notamment les objets représentant des informations personnellement identifiables (PII). Une fois cette politique activée, l’API fournit des liens d’où le client peut télécharger et exporter ses informations en toute sécurité.

Exemple pour afficher et sélectionner les champs identifiables dans l’objet de contact

Pour activer les suppressions automatiques via l’application d’une politique, la dernière version de la plateforme (printemps 2021) vous permet également d’obtenir des rappels en temps opportun et de supprimer automatiquement les données client générées par cette API après 60 jours.

Conformité au GDPR dans Salesforce : une responsabilité proactive

Pour garantir la confidentialité des données de vos clients, vous devez donc, entre autres, activer les options mentionnées ci-dessus dans la plateforme Salesforce. Nous le savons, assurer sa conformité aux réglementations strictes du GDPR peut être stressant. Cependant, les différentes fonctions mentionnées ici sont des étapes essentielles pour garantir votre conformité et protéger un actif vital de votre entreprise : vos clients.

Dans un monde où les fuites de données sont quasi quotidiennes et où le vol de données client peut avoisiner les millions de dollars de dommages, il est devenu indispensable d’assurer la confidentialité des données. Chez Varonis, nous sommes pionniers dans la protection et la sécurité des données et sommes expérimentés dans la fourniture de solutions complètes de conformité au GDPR.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir
The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
En quoi consiste la gouvernance des données ? Cadre et bonnes pratiques
La gouvernance des données facilite l’organisation, la sécurisation et la normalisation des données de tous types d’organisations. Pour en savoir plus sur les cadres de gouvernance des données, cliquez ici.
qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
Qu’est-ce que le cadre de cybersécurité NIST ?
Découvrez comment mettre en œuvre le cadre de cybersécurité NIST dans votre entreprise.
en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?
La directive DSP2 de l’UE encourage l’innovation financière tout en imposant de meilleurs dispositifs de protection des consommateurs. Découvrez en quoi consiste la conformité à la DSP2 et ce qu’elle implique pour votre entreprise.