Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 13 avril 2026
Accueil/RGPD/RGPD et CRM : mettre votre outil en conformité
RGPD

RGPD et CRM : mettre votre outil en conformité

RGPD et CRM : bases légales, durées de conservation, droits des personnes. Guide pratique pour mettre Salesforce, HubSpot ou tout CRM en conformité.

Par Thiebaut DevergrannePublie le 11 avril 2026Mis a jour le 11 avril 20269 min de lecture
Sommaire
  1. Pourquoi le CRM est un traitement RGPD à part entière
  2. Identifier les bases légales applicables
  3. Les 7 obligations concrètes pour votre CRM
  4. Les erreurs les plus fréquentes
  5. Checklist de mise en conformité CRM
  6. Ce qu’il faut retenir
  7. FAQ

Votre CRM contient des noms, des emails, des historiques d’achat, parfois des notes internes sur vos clients. C’est le cœur de votre relation commerciale — et c’est aussi un traitement de données personnelles au sens du RGPD. En 2025, la CNIL a prononcé 486,8 millions d’euros d’amendes, dont plusieurs sanctions liées à des bases de prospection mal gérées. Voici comment mettre votre CRM en conformité, concrètement.

Pourquoi le CRM est un traitement RGPD à part entière

Un CRM (Customer Relationship Management) centralise des données personnelles : nom, prénom, email, téléphone, historique des interactions, préférences, parfois des données sensibles (état de santé pour un CRM médical, opinions syndicales pour un CRM RH). Chaque fiche contact, chaque note commerciale, chaque tag de segmentation constitue un traitement au sens de l’Art. 4(2) du RGPD.

Concrètement, cela signifie que votre CRM doit respecter l’ensemble des obligations du RGPD : base légale pour chaque finalité, information des personnes, durées de conservation, sécurité des données, et exercice des droits. Ce n’est pas une option — c’est une obligation légale dont la violation peut coûter jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (Art. 83(5) RGPD).

Identifier les bases légales applicables

La première question à se poser : sur quelle base légale repose chaque traitement effectué via votre CRM ? En pratique, trois bases légales reviennent systématiquement.

L’exécution du contrat (Art. 6(1)(b))

La gestion de la relation client existante — suivi des commandes, facturation, service après-vente — repose sur l’exécution du contrat. Vous n’avez pas besoin du consentement pour envoyer une facture ou répondre à une réclamation. Mais cette base ne couvre que les traitements strictement nécessaires à l’exécution contractuelle.

L’intérêt légitime (Art. 6(1)(f))

La prospection B2B, le scoring commercial, la segmentation marketing reposent généralement sur l’intérêt légitime. Attention : cette base exige de documenter un test de mise en balance (triple test) entre votre intérêt commercial et les droits des personnes concernées. Dans mon expérience de conseil, c’est souvent cette documentation qui fait défaut lors des contrôles CNIL.

Le consentement (Art. 6(1)(a))

La prospection par email B2C exige le consentement préalable (Art. L.34-5 du Code des postes et communications électroniques). Si votre CRM envoie des newsletters ou des emails marketing à des particuliers, vous devez pouvoir prouver que chaque destinataire a donné son accord. Cela signifie un opt-in vérifiable, horodaté, stocké dans votre CRM.

Les 7 obligations concrètes pour votre CRM

1. Inscrire le CRM au registre des traitements

Votre registre des activités de traitement (Art. 30 RGPD) doit comporter une fiche dédiée au CRM. Cette fiche précise les finalités (gestion commerciale, prospection, fidélisation), les catégories de données collectées, les destinataires (équipe commerciale, prestataire CRM, sous-traitants techniques), les durées de conservation et les mesures de sécurité.

2. Informer les personnes concernées

Chaque personne dont les données figurent dans votre CRM doit avoir été informée conformément à l’Art. 13 RGPD : identité du responsable de traitement, finalités, base légale, durée de conservation, droits (accès, rectification, effacement, portabilité, opposition). Cette information doit intervenir au moment de la collecte — formulaire de contact, carte de visite numérisée, import depuis LinkedIn.

3. Définir et appliquer des durées de conservation

C’est le point faible de la plupart des CRM : les données y restent indéfiniment. Or la CNIL recommande des durées précises :

  • Clients actifs : pendant la durée de la relation commerciale + 3 ans après le dernier contact (recommandation CNIL, norme simplifiée NS-048)
  • Prospects : 3 ans maximum après le dernier contact actif
  • Données de facturation : 10 ans (obligation comptable, Art. L.123-22 du Code de commerce)

Votre CRM doit disposer de mécanismes de purge automatique ou, à défaut, d’une procédure de revue périodique documentée.

4. Sécuriser les accès

L’Art. 32 RGPD impose des mesures de sécurité adaptées au risque. Pour un CRM, cela implique :

  • Gestion des droits d’accès par rôle (un commercial n’a pas besoin de voir les données RH)
  • Authentification forte (MFA) pour tous les utilisateurs
  • Journalisation des accès et des exports
  • Chiffrement des données en transit (TLS) et au repos
  • Politique de mots de passe conforme aux recommandations CNIL (délibération 2017-012, mise à jour 2022)

5. Encadrer la sous-traitance

Si vous utilisez un CRM SaaS — Salesforce, HubSpot, Pipedrive, Zoho — votre éditeur est un sous-traitant au sens de l’Art. 28 RGPD. Vous devez vérifier :

  • L’existence d’un contrat de sous-traitance (Data Processing Agreement) conforme à l’Art. 28
  • La localisation des données : si le CRM héberge les données aux États-Unis, les garanties de transfert hors UE sont-elles en place (clauses contractuelles types, Data Privacy Framework) ?
  • Les sous-traitants ultérieurs : Salesforce, par exemple, fait appel à des dizaines de sous-traitants techniques listés sur son site

6. Gérer les droits des personnes

Votre CRM doit permettre de répondre aux demandes d’exercice de droits dans le délai d’un mois (Art. 12(3) RGPD) :

  • Droit d’accès (Art. 15) : pouvoir extraire toutes les données d’un contact
  • Droit de rectification (Art. 16) : corriger les informations inexactes
  • Droit à l’effacement (Art. 17) : supprimer un contact et toutes ses données associées, y compris les notes, les tags et l’historique des interactions
  • Droit d’opposition (Art. 21) : cesser la prospection pour un contact qui s’y oppose

En pratique, vérifiez que votre CRM permet une suppression réelle (et pas simplement un archivage) et que les données supprimées ne sont pas conservées dans des sauvegardes accessibles indéfiniment.

7. Documenter la conformité

La conformité RGPD est une obligation de moyens documentée. Conservez dans votre registre ou dans un dossier dédié :

  • La fiche de traitement du CRM
  • Le DPA signé avec l’éditeur
  • Le test de mise en balance (si base légale = intérêt légitime)
  • La preuve des consentements collectés
  • Les procédures de purge et de gestion des droits
  • Les résultats d’audit RGPD portant sur le CRM

Les erreurs les plus fréquentes

Ayant travaillé plus de 20 ans dans le domaine du droit des données, je constate que les mêmes erreurs reviennent dans la quasi-totalité des audits CRM :

L’import massif sans base légale. Des fichiers de prospects achetés ou récupérés lors de salons, importés dans le CRM sans vérification du consentement ni information des personnes. La CNIL a sanctionné cette pratique à plusieurs reprises, notamment pour un montant de 310 000 € dans le cas d’un achat de données de prospection sans vérification suffisante.

L’absence de purge. Des fiches contacts datant de 5, 8, 10 ans, sans aucun contact depuis des années. Chaque donnée conservée au-delà de sa durée légitime constitue un manquement à l’Art. 5(1)(e) RGPD (limitation de la conservation).

Les exports sauvages. Des commerciaux qui exportent des listes en CSV sur leur poste personnel. Sans politique d’export contrôlée, vous perdez toute maîtrise sur les données — et toute capacité à répondre aux demandes d’exercice de droits.

Le CRM comme base de documentation RH. Des notes sur les contacts qui contiennent des appréciations subjectives, des informations de santé, des données qui n’ont rien à faire dans un outil commercial. Si vos notes CRM croisent des données traitées dans le cadre de la gestion RH, la situation se complique considérablement.

Checklist de mise en conformité CRM

Pour structurer votre démarche, voici les étapes à suivre dans l’ordre :

  1. Cartographier les données présentes dans le CRM (quels champs, quelles catégories)
  2. Identifier la base légale pour chaque finalité (prospection, gestion client, fidélisation)
  3. Rédiger ou mettre à jour la fiche registre Art. 30
  4. Vérifier le DPA avec l’éditeur CRM et la localisation des données
  5. Paramétrer les durées de conservation et les règles de purge automatique
  6. Restreindre les accès par rôle et activer l’authentification forte
  7. Tester la procédure d’exercice des droits (accès, effacement, opposition)
  8. Former les équipes commerciales aux bonnes pratiques RGPD
  9. Documenter l’ensemble dans le dossier de conformité

C’est ce type de travail systématique que Legiscope permet d’automatiser — de la cartographie des traitements à la génération du registre, en passant par le suivi des sous-traitants.

Ce qu’il faut retenir

  • Tout CRM contenant des données personnelles est un traitement soumis au RGPD — sans exception.
  • Les trois bases légales principales sont l’exécution du contrat, l’intérêt légitime (B2B) et le consentement (B2C email).
  • Les durées de conservation doivent être paramétrées : 3 ans pour les prospects, durée du contrat + 3 ans pour les clients.
  • Le contrat de sous-traitance (DPA) avec l’éditeur CRM est obligatoire et doit couvrir les transferts hors UE.
  • La gestion des droits (accès, effacement, opposition) doit être techniquement possible et testée.

FAQ

Mon CRM est hébergé aux États-Unis : est-ce conforme au RGPD ?

Un hébergement aux États-Unis n’est pas interdit en soi, mais il nécessite des garanties de transfert conformes au chapitre V du RGPD. Depuis juillet 2023, le Data Privacy Framework (DPF) permet les transferts vers les entreprises américaines certifiées. Vérifiez que votre éditeur CRM figure sur la liste DPF. À défaut, des clauses contractuelles types (SCC) sont nécessaires, accompagnées d’une analyse d’impact du transfert.

Dois-je obtenir le consentement de chaque contact dans mon CRM ?

Non, pas systématiquement. La gestion des clients existants repose sur l’exécution du contrat (Art. 6(1)(b)). La prospection B2B peut reposer sur l’intérêt légitime (Art. 6(1)(f)). Le consentement est en revanche obligatoire pour l’email marketing B2C et pour toute finalité qui ne relève ni du contrat ni de l’intérêt légitime.

Combien de temps puis-je conserver les données d’un prospect dans mon CRM ?

La CNIL recommande une durée maximale de 3 ans après le dernier contact actif. Passé ce délai, les données doivent être supprimées ou anonymisées. Un contact qui n’a pas interagi avec votre entreprise depuis 3 ans ne peut plus raisonnablement être considéré comme un prospect.

Que faire si un contact demande la suppression de ses données ?

Vous devez supprimer l’ensemble des données du contact dans un délai d’un mois (Art. 17 RGPD), sauf si une obligation légale justifie la conservation de certaines données (par exemple, les factures doivent être conservées 10 ans). Documentez la demande et la réponse apportée. Vérifiez que la suppression est effective dans le CRM, dans les sauvegardes accessibles et dans les éventuels exports.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Charte informatique RGPD : guide pratique

13 avril 2026 · 11 min
RGPD

Legiscope vs Vanta : comparatif RGPD 2026

12 avril 2026 · 12 min
RGPD

Co-responsabilité RGPD : article 26 en pratique

11 avril 2026 · 10 min