Your CRM and GDPR

Is GDPR worth the panic?

We’ve been overwhelmed with quite a GDPR panic lately. 😵

There’s tons of talk about the possible fines. Companies sending dedicated emails and web pages with vague statements about GDPR compliance. Consultants and lawyers appearing out of nowhere.

A fellow founder recently told me: “This is going to be like the Y2K bug. Lots of craze and then nothing really happens in the end.” 😏

La panique est sans doute un peu trop forte.

Mais la différence avec le bogue de l'an 2000 est que la panique actuelle autour du GDPR aura un effet sensiblement positif en fin de compte.

The positive effect of GDPR

Jusqu'à récemment, l'application de la réglementation européenne en matière de confidentialité et de sécurité des données était assez vague et pas vraiment stricte. Tout le monde s'en occupait de manière différente. Certains mieux que d'autres.

GDPR changes that. Despite the fact that the guidelines on practical implementation are not super concrete, the high level guidelines have been set. 🙌

Il est bon pour les entreprises de disposer de ces conseils. En outre, les clients et le grand public savent à quoi s'attendre. En effet, toutes les entreprises doivent désormais suivre le même cadre.

What GDPR means for Salesflare’s CRM

We’ve always taken data privacy and security serious while building Salesflare’s CRM platform, as data is at the core of what we do.

If you like to read more about some of the measures we take on this level, check out this article in our knowledge base. 👈

Still, the GDPR exercise we’re currently going through forces us to map exactly how we handle data, for customers and for ourselves. The benefits:

• Il améliore les processus que nous suivons ;
• Nous oblige à revoir les accords avec les clients et les fournisseurs ;
• D'une manière générale, le traitement des données est plus à l'épreuve du temps.

En bref, elle permet de professionnaliser davantage la manière dont les données sont traitées. Et nous demande de produire une tonne de documentation.

GDPR in 2 minutes

Le règlement général européen sur la protection des données (RGPD) modifie la manière dont les données personnelles des citoyens et résidents européens sont traitées.

If you’re keeping data on European Citizens/Residents you need to comply with the regulation, regardless of where you’re based or headquartered.

Les données à caractère personnel sont essentiellement toutes les données susceptibles d'être utilisées pour identifier une personne, qu'elles soient utilisées seules ou en combinaison avec d'autres données. Le concept de données à caractère personnel est donc très large.

There’s 3 parties in the relationship:

• La personne concernée : la personne qui fait l'objet des données à caractère personnel.
• Le responsable du traitement des données : l'entreprise qui décide de conserver et de contrôler ces données.
• Le sous-traitant : l'entreprise qui traite les données pour le compte du responsable du traitement.

As Salesflare, we are a data processor for our customers. Plus we are a data controller as well when marketing to prospects, providing customer service, keeping data on employees for HR reasons, …

👉 If you’re a customer of Salesflare, we will soon provide you with the necessary legal documents to make sure that you as a data controller (controlling data about your customers, the data subjects) are employing a data processor (that’s Salesflare) who complies with the regulations.

Les principes

Les principes énoncés dans le texte du GDPR sont simples, logiques et intemporels :

• Le traitement des données nécessite une base juridique
• Le présent objectif de la transformation doit être spécifié explicitement
• Le traitement des données doit rester limitée à cette fin
• Les données ne peuvent être collectées et conservées que autant et aussi longtemps que nécessaire
• Il doit y avoir ouverture sur la manière dont les données sont traitées.
• Les personnes ont le droit de voir leurs données personnelles transférées, modifiées ou supprimées.
• La qualité des données doit être maintenue.
• Les données doivent être conservées en toute sécurité
• Les entreprises peuvent être tenues responsables du respect de ces principes.

Pretty logical, ain’t it? 😏

GDPR meets CRM: what Salesflare is working on

As I explained above, Salesflare needs to be GDPR compliant both as a controller and as a processor of personal data. What’s relevant to you as a customer is our role as a processor (for you as a controller).

As a data processor, we’re working on:

• An updated privacy policy & terms and a data processing agreement (UPDATE: you can now request a DPA for signing here) ✔
• Keeping all your personal data in Europe (it’s already there, on Google Cloud servers in Belgium, so that part is easy) ✔
• Organizing an additional and professional security assessment to guarantee your personal data is 100% safe ✔
• An internal mapping of all processed data, in which we document compliance with the above principles, making changes where needed ✔
• Getting contracts with our subprocessors to assure they are GDPR compliant too ✔
• Appointing responsibles and building processes: this is to stay compliant, to guarantee people can have their data transfered, modified, deleted, … and to notify the official instances in case of data breaches (would be a first). ✔

It’s a whole bunch, but the work is totally worth it 👊

Ce qu'il faut faire pour être conforme au GDPR

Salesflare being GDPR as your CRM is one important step, as it holds your customer data, but it’s definitely not the only step to take.

Résumer en quelques mots :

• Nommer des responsables, y compris un Data Protection Officer (DPO)
• Sensibiliser tous les membres de l'équipe, créer sensibilisation, politiques et lignes directrices
• Mettez à jour vos documents juridiques, y compris votre politique de confidentialité.
• Créez des registres des activités de traitement (RPA) et cartographiez vos données.
• Assurez-vous que vos vendeurs et tiers sont conformes au GDPR (comme Salesflare et bien d'autres).
• Si vous détenez des données sensibles, faites une Analyse d'impact de la protection des données
• Travailler sur des éléments tels que l'obtention du consentement des personnes concernées et information.
• Create processes to handle requests of data subjects to access, modify, … to handle data breaches and to ensure continued compliance
• Registre avec les autorités locales chargées de la protection des données

Still sounds a tad abstract? 🙃

No worries. Checklists like GDPR Checklist or GDPR compliance apps like ECOMPLY are here to help you nail the details. Check them out! 👈

En bref

Ne vous laissez pas gagner par la panique, la poudre aux yeux et les consultants obsédés par l'argent. Concentrez-vous sur les choses sérieuses et mettez la main à la pâte.

It’ll surely take some documents, meetings and emails to get compliant, but it will make our parallel data world a much better place.

If you need help, we’re in it together. Check out the discussions on this EU GDPR Facebook group, the resources just above, … and get going. 💪

Bonne chance !