Lecture 6 minutes
Les nouvelles fonctionnalités liées à la protection des données personnelles devraient être disponibles pour l’édition Spring 2018 (Sugar 8.0) pour toutes les éditions On-Premise, Cloud et/ou hébergées. Cette release est attendue pour la fin du mois d’avril.
Pour patienter, nous vous détaillons ci-dessous les nouveautés qui sont aujourd’hui planifiées par l’éditeur afin de faciliter votre mise en conformité au RGPD.
Attention, SugarCRM se réserve le droit d’ajuster le contenu de sa roadmap.
Licéité du traitement
Gestion du consentement
Les responsables de traitement seront capables d’enregistrer l’obtention d’un consentement et pour quelle utilisation ce dernier a été donné. Ces champs seront disponibles sur les Leads, Contacts et les Listes de Cibles. Ils seront cachés par défaut mais pourront être rendus visibles facilement par le biais du Studio. Les utilisateurs pourront aussi ajouter ces champs directement dans leurs formulaires de capture de leads.
Le consentement pourra également être retiré par les personnes concernées et les utilisateurs mettront ainsi ces données à jour. Tous les changements liés aux consentement seront tracés dans le nouveau module “Data Privacy Management” que nous vous détaillons plus bas.
Politique d'utilisation des emails
Le RGPD impose que les emails collectés soient automatiquement passés en Opt-out par défaut, ne recevant ainsi aucun email marketing. Ces emails ne peuvent passer en Opt-in sans une action volontaire et explicite venant de la personne concernée.
Un nouveau paramétrage sera disponible permettant aux administrateurs de spécifier si une nouvelle adresse email saisie est Opt-in ou Opt-out par défaut.
Les utilisateurs de Sugar qui ne sont pas soumis à cette réglementation européenne pourront ainsi garder leur fonctionnement habituel et collecter des emails en Opt-in.
De plus, un email en Opt-out sera clairement indiqué comme tel visuellement et ce partout où il s’affichera. Les utilisateurs pourront toujours envoyer des emails liés à leurs activités quotidiennes mais ne pourront en aucun cas adresser des campagnes marketing.
Minimisation des données
Les utilisateurs de Sugar ne doivent traiter une donnée que si celle-ci est pertinente pour leur activité. Toutes les informations non pertinentes doivent ainsi être supprimées. Ces champs inutiles peuvent être facilement supprimés via le Studio.
Les demandes des personnes concernées
Enregistrement des demandes des personnes concernées
Un nouveau module, appelé “Data Privacy”, sera disponible avec cette nouvelle version. Il permettra de tracer tous les événements liés aux données personnelles comme une demande d’accès aux données ou un consentement, et historisera les éventuelles mesures prises et actions menées.
Ce module sera configurable comme n’importe quel autre module. Il sera lié en standard aux modules Leads, Contacts et Listes de cibles et pourra être associé à d’autres modules via le studio.
Droit d’accès
SugarCRM va introduire un “Personal Information Log” (PI Log) qui permet d’afficher les dernières données personnelles ainsi que leurs sources. Le contenu du “PI Log” pourra être utilisé pour l’envoi, sur demande, des données personnelles d’une personne concernée.
Les administrateurs pourront définir quels champs sont considérés comme PII (Personally Identifiable Information - Données à caractère personnel) dans le studio. Le “PI Log” affichera ensuite ces champs “PII”.
Droit à la suppression
Une personne concernée peut demander à tout moment une suppression définitive d’une partie ou de la totalité des données qui la concernent. Cette demande sera historisée dans le module “Data Privacy”.
L’éditeur va ajouter un nouveau profil utilisateur appelé “Data Privacy Manager” (DPM), permettant de désigner certains utilisateurs pour ce rôle.
Le DPM aura la possibilité de traiter les demandes et de procéder à l'effacement des données. Il pourra aussi sélectionner les champs “PII” (Données à caractère personnel) à effacer, comme par exemple les liens vers les profils sur des réseaux sociaux.
Les champs effacés bénéficieront d’une mention “Valeur effacée”. Ces champs resteront éditables, dans l’éventualité qu’une personne accorde de nouveau son consentement permettant ainsi de traiter ses informations personnelles.
La fonctionnalité permettant de supprimer un enregistrement restera disponible. L’effacement sera à distinguer de la suppression :
- L'effacement consiste à supprimer de manière permanente une donnée dans la base de données, cette dernière ne pourra donc être récupérée.
- Un effacement ne peut être réalisé que par un utilisateur bénéficiant du rôle de DPM.
L’audit des logs permettra de tracer quels champs ont été enlevés, cet historique pourra être consulté à n'importe quel moment.
Droit à la modification
Les utilisateurs peuvent corriger une information avec les fonctionnalités existantes. Tous les changements relatifs aux données personnelles seront maintenus dans l’audit des logs.
Droit à la portabilité
Les utilisateurs de Sugar peuvent exporter les données personnelles depuis la vue liste en utilisant l’option d’export et l’adresser directement par email à la personne concernée.
Droit à l'opposition au traitement
Une personne concernée peut s’opposer au traitement des données qui la concernent. Dans ce cas, l’enregistrement doit ainsi bénéficier d’une mention indiquant qu’aucun traitement n’est permis pour cette personne.
Les utilisateurs de Sugar peuvent ainsi ajouter des champs personnalisés, pour indiquer par exemple qu’un enregistrement ne peut être traité ou utilisé à des fins de profiling. Ce champ pourra ensuite être utilisé comme filtre dans une campagne, un rapport ou tout autre processus.
Il s’agit d’un aperçu des nouveautés qui seront portées par cette release. Pour en savoir davantage sur Sugar 8.0, suivez de près nos actualités, nous en reparlerons très prochainement avec plus de détails.
Si vous utilisez déjà Sugar et avez besoin d’être guidé dans votre mise en conformité au RGPD, n'hésitez pas à nous contacter pour étudier ensemble comment nous pouvons vous accompagner.
