Comment Salesforce s'est préparé au RGPD

La protection des données est un aspect essentiel de l’activité de Salesforce qui traite une énorme quantité de données. En effet, plus de 150 000 entreprises utilisent la plate-forme de gestion de la relation client (CRM) du géant cloud et lui font confiance pour qu’il traite leurs données de manière sécurisée et éthique. Le système de confidentialité de l'éditeur est basé sur l'idée que les clients doivent rester propriétaires de leurs propres données, de sorte que chacun peut savoir comment sont utilisées ses informations.

L'entreprise s'est félicitée de la mise en place du Règlement général sur la protection des données (RGPD), car il sert de modèle pour ce projet au point que le CEO de Salesforce, Marc Benioff, a appelé à l'adoption d'une loi similaire aux États-Unis « Le RGPD apporte vraiment un certain nombre de choses », a expliqué Lindsey Finch, la première DPO en titre de Salesforce. « Le règlement général sur la protection des données permet de s’assurer que les données sont sécurisées, que les individus ont le contrôle sur l’utilisation de leurs données, mais aussi de s'assurer que les entreprises sont tenues responsables de leurs pratiques en matière de protection de la vie privée ».

Le RGPD disséqué par Salesforce

Salesforce a divisé le document de 88 pages du RGPD en quatre catégories principales : la portabilité des données, la restriction du traitement, la gestion du consentement et la suppression des données, également appelée droit à l'oubli. « Nous avons passé en revue nos différents produits et services cloud dans chacun de ces domaines pour nous assurer que nous sommes conformes en tant qu'entreprise de traitement de données, mais aussi du point de vue de nos clients, pour nous assurer qu’ils peuvent se conformer à ces principes quand ils utilisent nos services », a expliqué Mme Finch.

Au mois de février dernier, Salesforce a lancé un site Web RGPD, sur lequel il propose des conseils, des modules de formation et d'autres ressources qui peuvent aider les clients à se conformer aux implications du RGPD dans chaque service cloud de Salesforce. Le fournisseur a publié un addendum sur le traitement des données « Data Processor Addendum » que les clients peuvent remplir, signer et retourner pour confirmer qu'ils continuent à transférer des données à Salesforce sans interruption, un document d'aide sur la manière de répondre aux demandes d'accès aux données et des conseils sur les questions d'évaluation d’impact sur la protection des données (Data Protection Impact Assessment - DPIA). Salesforce a également ajouté de nouvelles fonctionnalités à la plate-forme. Le fournisseur a introduit un objet individuel (Individual Object) pour consolider les préférences de confidentialité des multiples enregistrements de données effectués par Salesforce. Le fournisseur a également réorganisé sa plate-forme de gestion des données Salesforce DMP (Data Management Platform) pour permettre aux clients de suivre et d’enregistrer plus facilement les consentements reçus à un niveau granulaire.

Une opportunité nommée RGPD

Salesforce a un point de vue très positif sur le RGPD : l’entreprise considère que celui-ci représente une excellente occasion pour améliorer l'expérience client et développer une relation plus forte avec lui. « Actuellement, l’essentiel de l'attention accordée au RGPD est focalisé sur le casse-tête de la conformité », a déclaré Lindsey Finch. « Nous pensons au contraire que c’est vraiment l’opportunité, non seulement pour Salesforce, mais aussi pour nos clients, d'établir une relation de confiance avec les individus et de les placer au centre de nos activités afin que nous puissions nous assurer que nous respectons leur vie privée ».

Salesforce a examiné très en détail ses programmes de protection de la vie privée et a formalisé un certain nombre de pratiques déjà en place, par exemple la mise en œuvre d'une stratégie complète d'évaluation d'impact de la protection des données. Pour sensibiliser tout le monde à ses responsabilités en matière de protection des données, Salesforce a lancé un module d'apprentissage sur le RGPD appelé « Trailhead ». Celui-ci doit aider le personnel et les clients à se familiariser avec la réglementation et la législation européenne sur la protection de la vie privée. Mme Finch a précisé que l’introduction d'une culture de la protection de la vie privée à l'échelle de l'entreprise avait été la clé de la conformité, car elle crée une adhésion collective et garantit que chaque employé a conscience de ses responsabilités. « La protection de la vie privée ne doit pas être réservée à une équipe spécialisée », a-t-elle déclaré. « La question doit concerner tout le monde, et bâtissant une culture de la protection de la vie privée, les entreprises vont pouvoir se conformer non seulement au RGPD, mais aussi à toute future loi sur la protection de la vie privée ».

Un effort en continu

Si l’entreprise s’est préparée bien en amont de la date d’entrée en vigueur du 25 mai, pour Lindsey Finch, le RGPD est un voyage sur le long terme et non une course vers une ligne d'arrivée. La DPO compte bien surveiller les pratiques de protection des données et les politiques de confidentialité en continu afin de conserver la confiance des clients. « Quand une entreprise place ses clients finaux au centre de tout ce qu'elle fait, c'est une très bonne méthode pour se conformer au RGPD, parce qu’en mettant l'individu au centre de tout ce que vous faites, vous respecterez ses préférences », a-t-elle encore déclaré. « Pouvoir effacer les données du client à sa demande ou respecter son choix de n’être contacté que pour certaines choses va vraiment dans le sens du succès et de la confiance ».