Dossier RGPD : Comment mettre aux normes son site e-commerce ?

Le RGPD (Règlement général sur la protection des données ou GDPR en anglais) entre en vigueur à partir du 25 mai 2018 et cela n’est pas sans conséquence pour les E-commerçants.

Ce Règlement Européen impose une nouvelle norme pour la sécurisation des données personnelles et va nous obliger à modifier notre façon de travailler.

Dans cet article, nous allons faire le tour de la question et vous donner les clés pour comprendre ce que nous allons devoir changer pour éviter les lourdes sanctions qui ont été prévues. Mais pas d’inquiétude, même si le RGPD peut être lourd pour les grandes entreprises, pour nous E-commerçants, c’est facile et rapide à mettre en place 😉

Nous verrons donc :

• En quoi consiste le RGPD ?
• Quelles sont les nouvelles obligations ?
• Quelles sanctions risquez-nous si nous ne faisons rien ?
• Quels changements devons-nous prévoir sur nos sites e-commerce ?

À la fin de cet article, vous aurez l’ensemble des informations essentielles sur sur cette nouvelle loi européenne de protection des données et comment vous y préparer.

Le RGPD, c’est quoi ?

Le RGPD c’est le Règlement Général sur la Protection des Données (ou GDPR en anglais).

Il s’agit d’une nouvelle réforme européenne qui renforce les droits des personnes physiques (consommateurs) dont les informations sont collectées et traitées par les entreprises. Il a été mis en place pour protéger les libertés individuelles et a été pensé surtout pour les entreprises qui manipulent des données sensibles (les banques, les organismes de santé, Facebook, …)

Ces informations ce sont toutes celles, sur lesquelles vous vous appuyez pour proposer des services ou des produits ciblés.

Ce nouveau cadre oblige les entreprises à devenir plus vigilantes sur l’utilisation de ces données et sur leur traitement. À partir du 25 mai, vous devrez avoir un consentement clair et explicite de vos clients pour utiliser leurs données personnelles. Pourquoi ? Tout simplement pour sensibiliser et protéger les internautes sur les informations personnelles collectées.

Un autre objectif du RGPD est d’harmoniser au niveau européen l’ensemble des textes juridiques concernant les données personnelles collectées. Il s’agira en effet du nouveau texte de référence pour tous les États membres de l’Union Européenne.

 

 

Qu’est-ce qu’une donnée personnelle au sens du RGPD ?

Les données personnelles sont des informations concernant une personne physique. Il en existe 3 types :

• Les données claires et directes : un nom, un prénom, un numéro de téléphone, une adresse postale, une adresse e-mail, …
• Les données cryptées : un mot de passe, un numéro de carte bancaire, …
• Les données anonymisées ou pseudonymisées : ce sont les données issues d’un processus d’anonymisation irréversible qui transforme les données personnelles de façon à ne pas pouvoir être ré-identifiées.

Le RGPD prévoit que l’ensemble de ces informations collectées par les entreprises, soient licites et n’engagent au regard de la loi aucun traitement particulier : discrimination, racisme, religion, opinion politique, orientation sexuelle, … mais cela était déjà le cas avant.

Le plus gros changement à venir pour nous E-commerçants … C’est qu’à partir du 25 mai 2018, toute collecte de données personnelles devra faire preuve d’un consentement clair, explicite et écrit de l’internaute avant tout traitement par l’entreprise utilisatrice, et ça, ce n’est pas anodin du tout !

 

3 gros changements sont à prévoir

Le consentement explicite et le registre de collecte des données

C’est à notre avis le plus gros changement et celui qui aura le plus d’impact sur les E-commerçants.

Le RGPD prévoit que toute entité (start-ups, PME, TPE, grands groupes, associations, syndicats, organisations professionnelles, collectivités, …) disposant de données personnelles devront à partir de la date d’entrée en vigueur de la loi, détenir un registre de traitement des données.

Celui-ci permettra de garantir que la procédure de collecte des informations personnelles a bien été enregistrée selon un consentement clair, explicite et écrit de l’internaute et que l’entreprise utilisatrice garantie la sécurité et la confidentialité des données récoltées. Les données enregistrées au sein du registre seront à conserver durant 13 mois maximum afin de prouver de la bonne conformité de la loi.

Pour vous aider vous pouvez télécharger un exemple de registre fourni par la CNIL, qui vous permettra de vous mettre en conformité avec le RGPD.

Concernant ce premier changement, cela signifie que vous devrez demander à chaque visiteur son consentement explicite et que vous devez en gardez la preuve (voir plus bas comment faire)

L’effacement des données personnelles

Dans la continuité des précédentes lois de protection des données personnelles (droit à l’oubli par exemple), le RGPD stipule le droit à l’effacement des données collectées.

En effet, vos clients pourront, à tout moment, vous demander l’accès à leurs données personnelles récoltées ainsi que la suppression de celles-ci, s’ils le souhaitent, selon certaines situations :

• Les données récoltées sont devenues obsolètes et ne sont plus utiles
• Le client souhaite tout simplement retirer son consentement pour l’utilisation de ses données
• Les données personnelles récoltées ont fait l’objet d’un traitement illicite et particulier
• Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis

Pour en savoir plus, nous vous invitons à consulter l’article 17 du RGPD, qui vous apportera l’ensemble des situations possible sur le droit à l’effacement.

 

La désignation d’un délégué de protection des données

Cette obligation est valable dans toute entreprise de plus de 250 salariés. (Attention, il y a certaines exceptions, mais à priori, si vous êtes E-commerçants et que les données que vous collectées sont les données utiles à la livraison de vos produits et services, il y a peu de risque que vous soyez concerné).

Il sera nécessaire de désigner un DPO (Délégué de Protection des Données ou Data Protection Officer en anglais). Non membre de l’équipe dirigeante, le DPO sera chargé du bon respect du RGPD. Indépendant à ses missions au sein de l’entreprise, il pilotera le process juridique et technique, donnera des conseils et contrôlera le bon respect du règlement.

Pour mieux comprendre les principes clés du RGPD, la CNIL publie un guide de la sécurité des données personnelles  ainsi que quelques articles sur le sujet, pour vous aider à vous mettre en conformité avec la nouvelle loi européenne.

 

Concrètement, voici ce qu’il faudra mettre en place sur votre boutique en ligne

Le consentement explicite

Fini les cases précochées !

Jusqu’à présent, un simple message avec un bouton « Ok » suffisait pour prévenir un internaute sur l’utilisation de Cookies, pour accéder à ses données personnelles. À partir du 25 mai, vous aurez l’obligation de mettre en place des boutons « Oui » ou « Non » permettant à vos clients de pouvoir donner un consentement écrit, clair et explicite.

Pour les formulaires, la procédure est identique, chaque internaute devra remplir de son gré tous les champs et choisir s’il souhaite que l’on utilise ses données personnelles ou non. Un lien devra également être mis en place vers les conditions générales d’utilisation du site internet.

La preuve du consentement

Après avoir récolté les données personnelles, il sera impératif de conserver une trace du consentement de vos clients, ainsi, les données seront conservées pendant une durée de 13 mois maximum. Cela signifie aussi qu’en théorie, vous devrez re-demander à vos clients leur consentement tous les 13 mois.

Si vous utilisez un site Prestashop, vous pouvez télécharger gratuitement notre plugin qui vous permettra de collecter les consentements facilement.

Les conditions générales d’utilisations

L’accès aux conditions générales d’utilisations, devra être obligatoire et facile d’accès pour chaque internaute qui se connectera sur votre site internet. Celles-ci donneront accès à différentes informations relatives aux RGPD et en particulier :

• Le listing de toutes les données collectées
• L’utilisation des données en fonction des différents formulaires présents sur le site
• La finalité de la collecte des données
• La durée de conservation des données
• Le droit d’accès aux données personnelles et la façon d’y accéder
• Le droit à l’effacement des données et la façon de le demander

Nous vous conseillons également de tenir informé l’internaute que vous être en conformité avec le RGPD dans vos mentions légales, en effet, cela permettra de crédibiliser votre site et gagner en confiance avec vos clients.

 

 

Quelles sont les sanctions encourues en cas de non-conformité ?

En cas de non-respect du RGPD, les entreprises se risquent à des sanctions lourdes : en cas d’infraction, des amendes peuvent atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel total de l’exercice précèdent. De plus, en cas de non-respect de la vie privée, les utilisateurs pourront demander réparation des préjudices engendrés.

 

Évaluer le risque juridique

En tant qu’E-commerçant, vous ne traitez pas des données sensibles capables d’impacter fortement la vie de clients. En effet, si vous vendez des produits et que vous ne stockez pas les données de carte bancaire de vos clients, le plus grand risque concernant les données personnelles serait de vous faire voler votre base de données clients.

À ce moment-là, vos clients seraient peut-être spammés. L’impact étant limité à mettre le spam dans la corbeille.

À vous quand même de vous poser la question de savoir quels peuvent être vos risques et quelles sont les données personnelles que vous collectez. Sans non plus vous torturer le cerveau (nous vous conseillons de vous concentrer plutôt sur votre marketing et votre business que passer beaucoup de temps à vous mettre 100% en conformité par rapport au RGPD avec comme hypothèse que vous ne collectiez que des données peu sensibles bien sur), posez vous ces questions :

• Quelles sont toutes les données personnelles que je collecte sur mes clients ?
• Lesquelles ne sont pas nécessaires pour l’exécution de mon service ?
• Lesquelles sont sensibles, présentent ou peuvent présenter un risque pour mon client ?
• Qu’est-ce que je mets en place pour sécuriser ses données ?
• Quels sont mes partenaires qui ont accès aux données de mes clients ?

 

Pour en savoir plus sur le RGPD, retrouvez ici l’intégralité du Règlement Général sur la Protection des Données

Vous pouvez aussi lire l’article de Thiébaut Devergranne, qui vous permettra de comprendre que dans 90%, si vous êtes E-commerçants, le risque juridique est limité.

 

 

Ce qu’il faut retenir sur le RGPD …

 

• Collectez seulement les données dont vous avez besoin
• Modifier votre site internet afin que tout internaute puisse répondre « Oui » ou « Non » pour la récupération de ses données personnelles
• Disposer d’un consentement écrit, clair et explicite de la part de vos clients ainsi qu’une preuve de leur consentement
• Mettez en place un registre de collecte des données (un exemple est disponible ici)
• Laissez la possibilité à vos clients de pouvoir supprimer leurs données personnelles (inscrivez votre mail dans vos conditions générales d’utilisations pour qu’ils puissent vous contacter)
• Sécuriser les données récoltées : garantir sa confidentialité, l’intégrité, la disponibilité et la sécurité
• Nommez un DPO (seulement si vous êtes dans une entreprise de plus de 250 personnes)

 

 

 

La mise en conformité de la nouvelle réforme RGPD représente un enjeu important pour l’ensemble des entreprises européennes.

Sécurisation, transparence et confiance sont les maîtres-mots à respecter afin de renforcer la sécurité des données et gagner en confiance auprès de ses clients, ses partenaires ou ses prospects.

Si vous avez des questions, ou besoin d’aider sur la mise en conformité RGPD de vos boutiques en ligne, n’hésitez pas à nous contacter en cliquant ici. En tant que spécialistes et passionnés du E-commerce, nous saurons vous aiguillez dans les meilleurs choix à faire.