La CJUE a invalidé le Privacy Shield le 16 juillet 2020. Depuis lors, il n'y a plus d'accord régulant le transfert des données des entreprises et citoyens européens vers les Etats-Unis. Tout transfert est désormais potentiellement illégal. Un coup de tonnerre pour les plateformes américaines qui ont un oligopole de fait sur l'internet européen. Un sérieux soucis également pour les solutions US de CRM (Customer Relationship Management, ou Gestion de la Relation Client), qui ne peuvent plus garantir légalement l’intégrité des données de leurs clients, et ce quelque soit l’endroit où elles sont stockées et traitées en SaaS.
Si les autorités américaines et européennes travaillent à négocier un régime successeur pour les transferts transcontinentaux, en attendant cela impacte grandement la confiance entre partenaires B2B, notamment sur les données business stockées dans les CRM dont la société est immatriculée aux Etats-Unis d’Amérique. L’évolution des contrats des grands comptes visant explicitement les US persons et les différentes lois d'extra-territorialité telles que le Patriot Act sont évocateurs d’une prise en compte juridique du risque.
Pourquoi le Privacy Shield a-t-il été invalidé
L’objectif initial Privacy Shield est de définir un cadre légal sur le transfert de données à caractère personnel entre l’Europe et les Etats-Unis. Mais, suite aux révélations du PRISM (programme américain de surveillance électronique), Maximillian Schrems a déposé une plainte, qui a abouti à l’invalidation du Privacy Shield par la CJUE, sur la base de l’iniquité de traitement entre un citoyen US et Européen en cas de non respect du règlement. Par ailleurs il apparaît que diverses lois américaines, comme l’article 702 du FISA, le programme Upstream ou encore l’executive Order 1233, autorisent le traitement des données en masse et de manière non ciblée, ce qui contrevient au principe de proportionnalité indiqué dans le RGPD.
Cette annulation a un effet immédiat. La conséquence est que les entreprises européennes qui utilisent ce mécanisme comme fondement d’un stockage et d’un traitement des données personnelles vers une entreprise immatriculée aux USA, par exemple un éditeur US de logiciel en SaaS, doivent trouver une alternative.
Quelles conséquences pour les SaaS de Gestion de la Relation Client (GRC) ?
Le CRM (Customer Relationship Management), en français GRC ou Gestion de la Relation Client, est désormais au centre de l’expérience client. La centralisation des données clients se joue désormais dans les CRM, de l’acquisition jusqu’à la fidélisation client, en passant par sa facturation et le support des services et matériels. Le CRM détrône désormais les ERP (Enterprise Resource Planning) et devient le pivot du capital data de l’entreprise.
En effet, le logiciel CRM rassemble toutes les informations des différents processus de l’entreprise pour donner une vue 360° de chaque client en temps réel. La GRC va au-delà de la partie logicielle pour englober la technologie, les personnes et les processus qui alimentent, optimisent et analysent la qualité et la nature des relations entretenues avec la base de données client.
Ces données sont donc un actif stratégique et confidentiel de l’entreprise. Y donner accès à ses concurrents revient à lui permettre de lire à livre ouvert sur à la fois qui sont ses clients, quelles sont ses conditions et pratiques commerciales, mais aussi la valeur ajoutée mise en avant pour emporter les affaires et fidéliser.
Le célèbre exemple d’Alstom Power (le fabricant de cuves nucléaires pour les centrales et les sous-marins) ayant été poursuivi par les USA pour corruption sur différents dossiers commerciaux a été facilité par un accès direct aux données commerciales du groupe. Les conséquences en ont été l’arrestation sur le sol Américain de ressortissants Français, comme l’ancien président de la filière chaudières Frédéric Piérucci, une perte de souveraineté de la France par la vente forcée à General Electric, et une perte directe d’emplois et de savoir-faire.
Les documents révélés par Edward Snowden en 2015 par les WikiLeaks ont montré que l’espionnage économique des entreprises françaises par les agences de renseignement américaines est chose commune. La justice américaine compte même sur la NSA pour réunir des informations sur les contrats qui les intéressent. “L’extraterritorialité de la justice américaine a permis de ponctionner de plus de 13 milliards de dollars les entreprises françaises avec les amendes infligées par la justice américaine”.
Quelles sont les solutions CRM concernées ?
Les solutions de CRM qui sont directement impactées par l’invalidation de l’accord de Privacy Shield sont les logiciels SaaS qui sont détenues par des sociétés de droit américain. Peu importe que les données soient ou non stockées et traitées par des serveurs basées en Europe ou en France. Le Cloud Act, voté par les USA en réponse au RGPD européen deux mois avant sa mise en œuvre, oblige ses ressortissants à donner aux organismes d’états américains un accès aux données stockées sur leurs serveurs en dehors du territoire Américain.
C’est une extension des lois d'extraterritorialité déjà en vigueur, une version renforcée du Patriot Act (loi antiterroriste similaire à une autorisation d'espionnage des entreprises étrangères). Ces deux lois s'appliquent aux entreprises françaises dès qu'elles confient leurs données à un prestataire de services d'origine américaine.
Avec l'adoption du Cloud Act, les opérateurs et fournisseurs de services numériques américains seront obligés de divulguer les données des entreprises lorsque les autorités américaines (police, justice et administration) le leur demanderont. Cette divulgation est faite sans passer par les tribunaux et sans même informer les utilisateurs concernés. En d'autres termes : en choisissant de travailler avec un logiciel CRM américain, vous choisissez implicitement de mettre les données de votre CRM à disposition des forces états-uniennes et violez de ce fait les obligations du RGPD.
Les sociétés et principaux logiciels SaaS CRM du marché concernés sont (liste non exhaustive):
- Salesforce CRM et Marketing Cloud / Pardot
- Oracle CRM et Siebel
- Microsoft Dynamics 365
- Adobe Marketing Cloud et Marketo
- Hubspot Sales et Hubspot Marketing
- Active Campaign
- Mailchimp
- Zendesk Sell
- Freshwork CRM (Freshsales)
- Nimble
- PipelineDeals
- Nutshell CRM
Que faire si vous utilisez un logiciel de CRM SaaS américain ?
Changer vos habitudes
Vous pouvez choisir de renoncer à utiliser un service qui transfère vos données pour à l’extérieur de l’Union Européenne.
source https://legal.hubspot.com/fr/privacy-policy
Vous pouvez alors opter pour une entreprise européenne qui garantit ne faire aucun transfert de données. Plusieurs sites recensent ces logiciels, notamment la base Solainn pour les solutions logicielles françaises, et MartechTribe a regroupé par pays Européens les principales solutions de Marketing, dont les logiciels de CRM et de Marketing Automation.
Voici une liste de logiciels CRM Européens (non exhaustives également) :
- Pipedrive
- Efficy
- Everwin
- Dimo Yellowbox
- Webmecanik Pipeline
- Sellsy
- Sendinblue
- NoCRM
- SimpleCRM
- Sage
- SAP Sales Cloud
source https://martechtribe.com/
Ajouter des clauses
Vous pouvez faire ajouter des clauses types de protection des données adoptées par la Commission Européenne (Standard Contractual Clauses ou SCC). Une entreprise européenne qui envoie des données vers les Etats-Unis, directement ou indirectement via par exemple un logiciel CRM, doit juger que l’entreprise qui les reçoit a mis en place toutes les actions nécessaires au niveau technique, juridique et financier afin d’apporter les garanties appropriées.
Évaluer chaque contrat
Chaque entreprise européenne doit donc vérifier sur son registre des traitements s’il y a des transferts de données à caractère personnel vers les Etats Unis et si ceux-ci étaient couvert uniquement au travers du Privacy Shield. Si vous souhaitez continuer à utiliser les services de cette société US, il vous faudra évaluer chacun de vos contrats passé avec les éditeurs de logiciels, afin de valider de gré à gré avec la société concernée les clauses idoines.
Il conviendra alors de se référer à l’article 46 du RGPD. Cette partie du règlement indique que le transfert peut se faire si des garanties appropriées sont apportées. Une garantie appropriée c’est lorsqu’on peut juger concrètement de la sécurité des données, de l’accès à celles-ci par quiconque - y compris les autorités gouvernementales - ainsi que de la capacité des personnes européennes à pouvoir faire appliquer leurs droits. Dans tous les cas, faites étudier par votre service juridique ou un avocat spécialisé les conditions générales de ventes et de respect de la vie privée de votre fournisseur de solution logiciel.
Source https://www.salesforce.com/company/privacy/full_privacy/
Conclusion
Le plus simple c’est tout de même de commencer à faire le choix pour les nouveaux logiciels de solutions - CRM ou autres - dont la personne morale appartient à la communauté européenne. Les choix sont multiples, de qualité comparable, souvent moins onéreux et avec un support de proximité de qualité.
Pour les logiciels plus anciens, c'est l’opportunité de les moderniser avec une nouvelle solution plus à jour - les CRM en sont à leur quatrième génération avec l’IA et leur intégration native avec le Marketing Automation. Si vous les gardez, procédez à l'évaluation des risques à l’aune des CGV et des Privacy Policy, et faites y ajouter les clauses SCC de la CEE, ainsi que de l’article 46 du RGPD.
