Conformité des centres de contact : comment atténuer les risques

Si vous laissez votre centre de contact exposé à une mauvaise gouvernance, à des processus laxistes ou à une technologie insuffisante, attendez-vous à des amendes, à une atteinte à votre réputation et même à des mesures réglementaires vous obligeant à cesser vos activités (dans des circonstances extrêmes).

La conformité des centres de contact n’est pas une mince affaire. Heureusement, il existe plusieurs fonctionnalités de centre de contact conçues pour atténuer ces risques et vous aider à rester au courant des risques associés à l'exploitation dans différents secteurs.

Dans ce guide, nous présentons les risques et expliquons comment vos agents peuvent assurer la sécurité de votre centre de contact et respecter les directives de conformité.

Commençons par connaître les différents types de conformité des centres de contact.

Quels sont les différents types de conformité dans les centres de contact ?

De la HIPAA à la PCI DSS en passant par la FINRA et la conformité en matière de non-discrimination, examinons les différents types de conformité en matière de centres de contact.

HIPAA : Loi sur la portabilité et la responsabilité de l'assurance maladie

La HIPAA n'est pas seulement une bonne pratique pour les centres d'appels de soins de santé , mais un ensemble de lignes directrices auxquelles chaque entreprise de soins de santé doit adhérer.

Par conséquent, la HIPAA s'applique aux opérations des centres de contact dans le secteur de la santé, y compris à tous les fournisseurs d'informations sur la santé, aux centres d'échange et à toutes les entreprises de niche qui effectuent certaines transactions de soins de santé par voie électronique.

HIPAA ne s'applique pas à :

• Assureurs-vie
• Compagnies d'indemnisation des accidents du travail
• La plupart des écoles et districts scolaires
• Les agences d'État comme les agences de services de protection de l'enfance

Pour adhérer à la conformité HIPAA, les agents doivent :

• Vérifier l’identité des patients avant d’accéder aux informations médicales
• Transmettez et stockez en toute sécurité les données de santé
• Obtenir le consentement du patient pour partager des informations

Article associé

Nextiva est-il conforme à la loi HIPAA ?

PCI DSS : norme de sécurité des données du secteur des cartes de paiement

La norme PCI DSS fait partie de ces directives de conformité qui s'appliquent non seulement à tous les centres de contact mais également à toute entreprise gérant des paiements par carte de crédit.

La norme PCI DSS stipule que les agents des centres de contact doivent :

• Ne stockez jamais les données complètes de votre carte de crédit
• Utiliser des systèmes de traitement des paiements sécurisés
• Être formé à l’identification et à la prévention de la fraude à la carte bancaire

Il existe quatre niveaux de PCI DSS auxquels votre centre de contact peut être soumis, en fonction du nombre de transactions par carte que vous traitez chaque année :

• PCI Niveau 1 : six millions de transactions ou plus
• PCI Niveau 2 : un million à six millions de transactions
• PCI Niveau 3 : 20 000 à un million de transactions
• PCI Niveau 4 : moins de 20 000 transactions

Lectures complémentaires : Collecte des paiements par carte de crédit en toute sécurité avec l'IVR avancé de Nextiva

FINRA : Autorité de Régulation du Secteur Financier

Si vous êtes un centre de contact dans le secteur des services financiers, vous serez soumis à la conformité FINRA. La FINRA déclare que les réglementations sont « dédiées à la protection des investisseurs et à la sauvegarde de l’intégrité du marché de manière à faciliter le dynamisme des marchés des capitaux ».

Les entreprises réglementées par la FINRA comprennent :

• Sociétés de courtage
• Courtiers en acquisition de capitaux
• Portails de financement

La FINRA déclare que vos agents doivent :

• Tenir des dossiers clients précis
• Évitez de faire des recommandations d’investissement trompeuses ou non autorisées
• Se conformer aux réglementations de conformité en matière de tenue de registres pour les transactions financières

Conformité à la non-discrimination

Chaque centre de contact doit adhérer au respect de la non-discrimination. Cela garantit que tous les agents, employeurs et entreprises n'émettent pas de préjugés, de faveurs ou de jugements basés sur l'un des facteurs suivants :

• Course
• Couleur
• Religion
• Sexe
• origine nationale
• Âge
• Invalidité
• Information génétique

Le respect de la non-discrimination exige que les agents :

• Fournir un service égal à tous les clients, quels que soient les facteurs discriminatoires potentiels
• Évitez de faire des déclarations ou des hypothèses discriminatoires
• Respecter les politiques de l'entreprise en matière de diversité et d'inclusion

Comment les agents du centre de contact peuvent maintenir la conformité

À première vue, il semble que maintenir la conformité des centres de contact devrait être facile. Mais un environnement très fréquenté ou des agents travaillant sans surveillance dans divers endroits pourraient exposer votre entreprise à des non-conformités.

Utilisez ces quatre méthodes pour protéger votre centre de contact contre les plaintes formelles et les violations de données dévastatrices.

1. Des formations approfondies

Plus vous en savez, plus vous réalisez que vous ne savez pas. Il ne s’agit pas seulement d’une déclaration intelligente du philosophe grec Aristote, mais d’un scénario pertinent dans les centres de contact.

Offrir une formation régulière aux agents et aux superviseurs ne garantira pas seulement qu'ils soient toujours à jour sur les réglementations en vigueur. Cela révélera également les zones de faiblesse et d’incertitude. Par exemple, si vous dépassez votre limite de transactions et êtes désormais soumis à un nouveau niveau PCI, un superviseur peut le signaler et le communiquer au groupe.

Des banques comme JPMorgan Chase, Wells Fargo et Goldman Sachs investissent dans la formation à la conformité pour garantir que les employés comprennent les réglementations financières, les lois applicables et les autres exigences de conformité spécifiques au secteur. Tout cela les aide à respecter diverses directives de conformité des centres de contact et à éviter des pénalités massives.

De même, les nouveaux agents peuvent ne pas être sûrs de certains termes qui sont/ne sont pas autorisés lorsqu'ils s'adressent à différents clients. Recueillez toujours des commentaires après vos séances d’entraînement pour rester dans le coup.

Google déclare proposer une formation rigoureuse en matière de conformité à ses employés. Ceux-ci couvrent des domaines tels que :

• Comportement éthique
• Exigences légales
• Politiques de l'entreprise

Un autre domaine d’intérêt est la formation à la sécurité des données, que nous aborderons dans la section suivante.

2. Sécurité des données

Les agents doivent être familiers avec les protocoles de sécurité des données de l'entreprise et suivre les procédures de traitement des informations sensibles des clients. Celles-ci peuvent s'appliquer aux lois américaines comme le California Consumer Privacy Act ou aux lois européennes comme le Règlement général sur la protection des données.

Les protocoles et procédures des agents impliquent la confirmation de l'identité de l'appelant et l'authentification multifacteur pour les outils internes.

Mais certains aspects ne relèvent pas de la responsabilité des agents. La direction du centre de contact et l'informatique sont en charge de :

• Masquage des données (par exemple, masquage des détails de la carte de crédit lorsque les clients les saisissent)
• Appels téléphoniques cryptés (le cas échéant)
• Audits de conformité réguliers
• Plans formels de réponse aux incidents
• Mises à jour du logiciel du centre de contact

Le non-respect de ces règles ou même un petit incident dans la procédure peut entraîner des conséquences importantes. Le non-respect des règles de conformité d’un centre de contact peut entraîner des amendes ou une suspension, même si cela ne s’est produit qu’une seule fois.

3. Interactions avec les clients

Lorsqu'ils traitent avec des clients, les agents doivent savoir quelles données personnelles ils peuvent et ne peuvent pas collecter ou demander. La demande de numéros de téléphone, de coordonnées bancaires et d'autres informations personnelles identifiables ne doit avoir lieu qu'après avoir obtenu votre consentement explicite.

Remarque : Vous en avez besoin pour respecter la loi sur la protection des consommateurs par téléphone .

Même si les appelants fournissent eux-mêmes ces informations, votre entreprise est responsable de garantir que les données des clients sont conservées (avec autorisation) ou supprimées, selon le cas. Vous devez également accorder une attention particulière aux listes de numéros de télécommunication exclus pour éviter d'avoir un impact sur la fidélité des clients lorsque des personnes se désengagent, ce qui peut inclure des saisies manuelles dans les CRM ou une capture automatique lors de l'enregistrement des appels.

Au début de tout appel ou interaction omnicanal (chat web, email, SMS, etc.), les agents doivent vérifier l'identité du client avant d'accéder aux informations sensibles. Dans le cas contraire, des parties non autorisées pourraient accéder aux comptes et aux informations des clients.

Assurez-vous que tous les agents du centre d’appels respectent les procédures de vérification et d’identification en suivant un processus d’assurance qualité strict.

Pendant les appels, assurez-vous que les agents évitent de faire des remarques discriminatoires ou de donner des conseils biaisés. Éviter ces commentaires devrait être lié à vos plans de formation réguliers et à vos initiatives éducatives.

Il est également utile de conserver une liste d’expressions courantes nécessaires au maintien de la conformité du centre de contact.

Voici plusieurs exemples à considérer :

• « Tous nos appels sont enregistrés à des fins de formation et de suivi. Est-ce que cela te va?"
• "Etes-vous d'accord avec nous pour que vos informations soient enregistrées ?"
• « Est-ce que nous pouvons utiliser cette adresse e-mail/numéro de téléphone à des fins de marketing ? »
• « Voulez-vous vous inscrire pour recevoir d'autres mises à jour ? »
• « Avons-nous la permission d'utiliser ce numéro de contact pour la facturation ? »

4. Tenue de dossiers

En documentant avec précision ou automatiquement les interactions avec les clients conformément aux directives de l'entreprise, vous avez les meilleures chances de disposer de données et d'informations de haute qualité. S'appuyer sur la saisie manuelle des données ou sur des agents mettant à jour les enregistrements quelques heures après un appel vous expose aux erreurs et à la désinformation.

Lors de la mise à jour des enregistrements existants, assurez-vous que seul le personnel autorisé peut apporter des modifications aux enregistrements d'appels, aux transcriptions, aux notes et à d'autres informations vitales.

Si vous avez des réglementations spécifiques en matière de conservation des données, assurez-vous de suivre ces instructions dans les moindres détails. Si les agents, les superviseurs ou les administrateurs ignorent même la moindre information s'appliquant à certaines transactions, une modification incorrecte d'un enregistrement peut avoir des répercussions majeures.

Comment les technologies des centres de contact renforcent la conformité

Presque tous les centres de contact doivent respecter certaines directives ou organismes directeurs. C'est pourquoi nous proposons de nombreuses fonctionnalités qui vous aident à rester conforme.

Enregistrement d'appel

L'enregistrement des appels fournit un enregistrement des interactions à examiner, garantissant que les agents ont suivi les procédures appropriées et respecté les réglementations.

Vous pouvez intégrer l'évaluation des appels aléatoires ou ciblés à votre procédure de gestion de la qualité pour vous assurer que les agents utilisent les bons scripts, demandent aux clients de transmettre leur identité et leur vérification, et interrompent les enregistrements lors de la capture des détails de la carte de crédit.

Dans la capture d'écran ci-dessous, voyez comment Nextiva propose une fonction Pause/Reprise pour rester conforme à la norme PCI lors du traitement des paiements.

Vous pouvez également utiliser l’enregistrement des appels pour les audits de conformité et les enquêtes. S'il y a un incident et que vous avez besoin d'une preuve physique que vous avez respecté la conformité du centre de contact, vos enregistrements d'appels sont là pour assurer votre sécurité.

Suivi des dispositions

Lorsque vos agents utilisent des codes de disposition pour signaler le type d'appel, cela impose une catégorisation cohérente des appels en fonction de la nature de chaque interaction client. Non seulement cela est utile pour savoir pourquoi les clients vous appellent, mais cela permet également d'identifier les domaines dans lesquels la conformité pourrait être menacée.

Par exemple, un nombre élevé d’appels abandonnés dans le cadre d’appels de télémarketing peut soulever des problèmes de vente sous pression. Lorsque cela est signalé dans un rapport de disposition, vous pouvez enquêter sur les problèmes potentiels et anticiper les problèmes de conformité.

Flux de travail des agents

Il est simple de respecter la conformité du centre de contact si les agents disposent d'un processus étape par étape pour les procédures complexes.

Les procédures d'identité et de vérification au début d'un appel pourraient suivre une liste de contrôle de conformité en trois étapes :

• Demandez le nom et le numéro de compte de l'appelant
• Vérifiez le compte avec une phrase secrète, des informations d'adresse ou un numéro de téléphone
• Confirmer une transaction unique sur leur compte pour plus de sécurité

Ces tactiques sont monnaie courante lorsque les clients oublient leur mot de passe bancaire en ligne. Par exemple, pour vérifier qu'un appelant est bien celui qu'il prétend être, il doit confirmer la date et le montant d'une de ses dernières transactions.

Même un processus aussi simple que celui-ci réduit le risque de manquer des étapes de conformité cruciales lors des appels et garantit la cohérence dans le traitement des informations sensibles.

Avec des agents nouveaux, voire expérimentés, il n'est pas rare de voir dans un bureau des notes autocollantes, des affiches ou des cartes murales présentant des processus fréquemment utilisés.

Pensez à utiliser l’identification automatique par numéro (ANI) pour accélérer la vérification de l’identité.

Coaching et rappels basés sur l'IA

À l’ère de l’IA et de l’automatisation des centres de contact , vous pouvez introduire quelques aides d’agent simples. Un assistant IA peut aider les agents à coacher dans des scénarios de gestion de données sensibles et signaler des rappels lorsqu'ils sortent du script.

L'IA analyse les enregistrements d'appels en temps réel pour identifier les problèmes de conformité potentiels, comme l'utilisation d'un langage discriminatoire ou l'omission de mentionner les divulgations requises. Lorsque cela se produit, les agents reçoivent une notification à l'écran et l'IA peut informer les superviseurs afin qu'ils puissent prendre en charge l'appel.

Après l’événement, ces appels sont marqués pour examen. Vous pouvez utiliser les bons et les mauvais appels pour former de nouveaux agents en supprimant la théorie et en introduisant des scénarios du monde réel.

Audit et enregistrement des appels assistés par l'IA

L’IA peut également aider en analysant les enregistrements d’appels à la recherche de mots-clés ou d’expressions susceptibles d’indiquer une violation de la conformité.

Grâce à l'analyse des sentiments et à la reconnaissance de mots clés, vous pouvez signaler les appels à examen humain, en donnant la priorité aux interactions à haut risque et en augmentant l'efficacité de l'audit.

Ce système élimine la tension et le risque d'erreur humaine par rapport à la vérification manuelle des enregistrements d'appels, permettant ainsi aux examinateurs humains de se concentrer sur des cas complexes.

Il présente également l’avantage de suivre l’expérience client. Lorsque les appelants utilisent des mots indiquant une forte émotion ou un stress élevé, cela peut vous aider à détecter les appels qui doivent être surveillés pour des raisons de conformité.

Maintenez la conformité avec la plateforme sécurisée de Nextiva

La formation, la tenue des dossiers et l'apprentissage constant sont essentiels au maintien de la conformité du centre de contact.

Sans ces mesures, vous pourriez vous exposer à plus de risques que prévu.

Les plateformes de centre de contact comme Nextiva fournissent des communications sécurisées et fiables à chaque client, quel que soit son secteur d'activité.

Nous limitons certaines fonctionnalités des comptes conformes à la HIPAA afin de protéger les données privées des patients. Cela aide les entreprises à rester en conformité sans apporter aucun changement.

Ces derniers temps, nous avons ajusté les fonctionnalités suivantes :

• Messagerie vocale visuelle : désactivée
• Application Nextiva : fonctionnalité de relecture de la messagerie vocale désactivée
• Messagerie vocale par e-mail ou SMS : désactivée
• vFAX : fonctionnalité désactivée permettant l'envoi de fax depuis un email (vous pouvez toujours visualiser les fax entrants en utilisant un lien email sécurisé ou en vous connectant à votre portail)

Nextiva signe également un accord de partenariat commercial qui traite de nos services couverts et énonce les règles de confidentialité, de sécurité et de notification des violations requises pour les partenaires commerciaux en vertu de la HIPAA.

Grâce à l'enregistrement avancé des appels, notre ensemble de fonctionnalités robustes permet également la conformité PCI DSS. Vous pouvez enregistrer tous les appels de formation et de surveillance et utiliser la fonction Pause/Reprise afin que les détails de la carte ne soient pas enregistrés.

Vous pouvez ajouter des mesures de sécurité des données spécifiques et des flux de travail d'agent grâce à notre générateur de reconnaissance vocale interactive et intuitif, ANI, et à de nombreuses autres fonctionnalités conçues pour vous garder sur la bonne voie.