Dans beaucoup de PME, le RGPD vit dans un classeur PDF et une case « j’accepte » sur le site. Le CRM, lui, concentre pourtant le cœur du sujet : noms, emails, historiques d’appels, notes parfois trop bavardes, listes de prospection, consentements plus ou moins fiables.
Pas besoin d’une armée de juristes pour démarrer. Il faut un minimum opérationnel que les équipes comprennent — et un outil capable de le suivre.
Ce que le RGPD demande au CRM (en langage métier)
Vous devez savoir pourquoi vous gardez une donnée, sur quelle base, combien de temps, et qui y accède. Vous devez pouvoir répondre quand quelqu’un demande l’accès, la rectification ou l’effacement. Et vous devez limiter la casse si un export part au mauvais endroit.
Le CRM n’est pas « conforme » tout seul. Il devient un allié s’il permet de séparer les finalités, de tracer un consentement, de restreindre les droits, et d’agir vite sur une fiche. Sinon, il devient le lieu où s’accumule la preuve de vos approximations.
À retenirLa question utile n’est pas « est-ce que notre CRM est RGPD ? ». C’est « est-ce que nous pouvons expliquer et prouver notre usage des données clients ? ».
Bases légales : sortir du tout-consentement
Tout n’est pas « opt-in ». La facturation et le suivi d’un contrat reposent souvent sur l’exécution contractuelle. Certains usages B2B s’appuient sur l’intérêt légitime — avec discernement. Le consentement reste central pour beaucoup de prospections électroniques, mais ce n’est pas un interrupteur unique pour toute la fiche.
Si votre CRM n’a qu’un champ RGPD = oui/non, vous simplifiez trop. Au minimum, distinguez les usages : email transactionnel, prospection email, téléphone, SMS, partenaires. Et gardez une trace exploitable quand le consentement est requis : date, source, message présenté.
Durées de conservation : décider, puis automatiser un peu
Les PME gardent souvent « depuis toujours ». C’est confortable jusqu’au jour où l’on doit justifier. Définissez des règles simples : prospects sans activité depuis X mois, clients inactifs, candidats, contacts salons. Puis voyez ce que l’outil peut faire : alertes, archives, anonymisation.
Le parfait est l’ennemi du fait. Une règle claire appliquée à 80 % vaut mieux qu’une politique élégante ignorée.
Droits des personnes : un process de PME, pas une usine
Quand une demande arrive, quelqu’un doit la recevoir (email dédié ou formulaire). On vérifie l’identité sans théâtre. On cherche dans le CRM et dans les outils branchés (emailing, support). On agit. On répond.
Testez-le une fois par an avec un cas fictif. Vous découvrirez vite si la suppression laisse des doublons, si l’export est illisible, ou si personne ne sait qui a la main.
ConseilLors du choix d’outil ou d’un expert CRM, demandez une démo d’export / anonymisation sur un contact de test. Dix minutes qui évitent de mauvaises surprises.
Accès et hygiène : le RGPD du mardi matin
Des comptes partagés, des stagiaires avec les droits admin, des exports Excel sur des clés USB : ce n’est pas un sujet « juridique avancé », c’est de l’hygiène. Comptes nominatifs, MFA pour les admins, rôles par métier, revue des accès quand quelqu’un part. Le CRM doit aider à limiter la surface, pas à tout ouvrir « pour aller plus vite ».
Méfiez-vous aussi des notes libres. « Client difficile, divorce en cours » n’a rien à faire dans une fiche commerciale. Formez les équipes à ce qui est utile au business… et à ce qui expose inutilement.
Prestataires et sous-traitance
Votre éditeur CRM est souvent sous-traitant. Lisez le DPA, la localisation des données, la liste des sous-traitants. Si vous passez par un intégrateur, clarifiez qui touche à quoi. Pour une PME, l’objectif n’est pas la perfection documentaire : c’est de ne pas découvrir ces sujets après un incident ou un client exigeant.
Un guide plus détaillé sur le choix d’outil sous l’angle data existe déjà sur le blog crmly ; ici, retenez le réflexe : contrat + config + process.
Plan minimal sur 30 jours pour une PME
Semaine 1 : lister les données dans le CRM et leurs finalités principales. Semaine 2 : corriger les pires accès et les champs fourre-tout. Semaine 3 : écrire le process « demande de droits » et le tester. Semaine 4 : fixer trois durées de conservation et le premier nettoyage. Ce n’est pas un programme CNIL. C’est une base qui fait déjà basculer le risque.
Conclusion
Pour une PME, le RGPD dans le CRM n’est pas une montagne : c’est une série de décisions simples, tenues dans le temps. Bases légales distinctes, durées assumées, droits répondus, accès maîtrisés. L’outil doit servir ces décisions — pas les remplacer.
Si vous devez aligner outil et pratiques, un expert CRM peut co-porter le volet opérationnel ; pour comparer les solutions sur la résidence et le cadre data, commencez par le comparatif CRM.