E-commerçants : comment vous mettre en conformité avec le RGPD ?

Entré en vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données est un des sujets qui vous préoccupent actuellement en tant qu’e-commerçant. Il impose un nouveau cadre juridique de sécurisation des données personnelles et vous oblige à modifier quelque peu votre façon de travailler. Comme vous, de nombreuses entreprises ignorent les réels contours et exigences leur permettant d’aboutir à la conformité RGPD de leur site d’e-commerce.

Le RGPD c’est quoi ?

Le Règlement Général sur la Protection des Données est une réforme initiée et appliquée dans les pays de l’Union Européenne. Elles a pour objectif de renforcer les droits des consommateurs dont les informations personnelles sont collectées et traitées par les entreprises commerçantes. Le RGPD vise à protéger les libertés individuelles des citoyens européens, face aux entreprises qui manipulent les données privées, et ceci peu importe la domiciliation de ces entreprises.

A cet effet, les e-commerçants ont une obligation de conformité RGPD en vue d’assurer la sécurisation des données de leurs clients et visiteurs. La finalité des données est certes de permettre aux entreprises de mener leurs activités au mieux, néanmoins, la question de leur sécurisation ne doit pas être occultée. En tant qu’e-commerçant, la conformité RGPD suppose la modification de certains éléments de votre site. Lesquels ?

Les modifications à engager pour un site e-commerce conforme au RGPD

Les modifications à faire pour s’assurer de la conformité RGPD de votre site d’e-commerce sont de diverses natures et intègrent des paramètres différents. Toutefois, l’objectif final reste le même : protéger les utilisateurs, et inclusivement votre affaire, puisque la non-conformité aux exigences du RGPD vous expose à des sanctions.

S’assurer de la nécessité des données collectées

Pour un site e-commerce, vous avez l’obligation de vous assurer que les données que vous collectez sont vraiment utiles à votre activité commerciale. Avec le RGPD, vous devez pouvoir justifier de la finalité des données, sachant que vos visiteurs peuvent désormais s’opposer à la collecte ou à l’utilisation de leurs données.

Certes, l’application de cette mesure présente de réelles difficultés pour une entreprise d’e-commerce, étant donné que la finalité des données peut être aussi bien dans un but d’analyse de comportement, que pour une meilleure connaissance des visiteurs. Toujours est-il qu’il s’agit d’un travail à réaliser obligatoirement, afin de pouvoir justifier de la pertinence de votre collecte face à la CNIL.

Recueillir l’accord des visiteurs de votre site d’e-commerce

Le recueil du consentement est une exigence particulière du RGPD. L’époque de la case à cocher obligatoirement pour accéder à un site est révolue ; celle où les cases sont cochées d’avance encore plus. Aujourd’hui, le RGPD vous impose de recueillir le consentement de votre visiteur. Ce dernier doit l’exprimer de façon claire, seule preuve qu’il s’agit d’une initiative prise librement par le visiteur, de manière spécifique, univoque et éclairée.

En tant que site d’e-commerce, en définissant la finalité des données, vous avez également l’obligation de distinguer les données indispensables au fonctionnement du service, des données qui exigent le consentement du visiteur. L’idéal est donc d’indiquer au visiteur que ses données seront collectées (les cookies y compris), et de demander son consentement par un « oui » ou un « non ». Afin de renforcer la position des visiteurs quant à la finalité des données, le Règlement Européen va encore plus loin en conférant aux visiteurs des droits que sont :

  • Le droit de rectification sur les données collectées : les utilisateurs ont désormais le droit de rectifier leurs données personnelles et ce, toutes les fois qu’ils le souhaitent.
  • Le droit à l’oubli : les données recueillies ne peuvent être conservées que pour une durée définie, cohérente et en harmonie avec votre activité commerciale.
  • Le droit à l’effacement : les clients peuvent demander l’effacement des données à caractère personnel les concernant.
  • Le droit d’opposition au profilage (sauf exceptions).

Afficher la politique de collecte, de gestion et de confidentialité des données

En votre qualité d’e-commerçant, vous avez l’obligation de proposer une page de contenu, expliquant clairement la politique de gestion des informations personnelles liées au RGPD. La liste des informations collectées depuis le site est alors établie, ainsi que leur utilisation possible (finalité des données) par l’entreprise. Outre le recueil du consentement et l’affichage de la politique de confidentialité, d’autres obligations vous incombent pour assurer la conformité RGPD de votre site.

Permettre la gestion des cookies sur le site

Les visiteurs ont désormais le droit de choisir eux-mêmes le type de cookies qu’ils souhaitent activer le temps de leur navigation sur votre site. Cette possibilité de choix se traduit par l’apparition d’un bandeau ou d’une option que le visiteur voit sur n’importe quelle page du site et qui ne disparaît que lorsqu’il aura opté pour une action parmi celles qui lui ont été proposées. Le bandeau comporte une mention légale permettant la personnalisation des cookies.

La Commission Nationale de l’informatique et des Libertés propose une formulation standard sur le bandeau. Elle précise par ailleurs que « ce bandeau ne doit pas disparaître, tant que le visiteur n’a pas poursuivi sa navigation ». Au cas où le visiteur ne fait aucune confirmation, il lui est appliqué le paramétrage de confidentialité maximum par défaut. Pour un cookie de mesure d’audience, la durée de vie ne doit pas excéder 13 mois. Après ce délai, le recueil de consentement doit à nouveau être établi.

Créer un formulaire de contact pour les demandes RGPD

La conformité RGPD fait de la création de formulaire de contact, dédié à toute demande de gestion de données personnelles, un impératif. Il s’agit d’un formulaire de demande adressé au responsable RGPD de l’entreprise chargée du traitement des données. Il peut être accessible depuis la page de politique RGPD ou depuis un lien visible au niveau du footer du site.

S’assurer du bon traitement des données par les sous-traitants

Lorsque vous avez recours à des sous-traitants pour la gestion des données, vous devez vous assurer qu’ils opèrent conformément aux exigences du RGPD. Au besoin, exigez d’eux des preuves ou pensez à inclure des clauses dans le contrat en ce sens. La conformité RGPD intègre aussi ce paramètre, d’autant plus que le règlement exige que les données soient stockées dans un pays de l’Union Européenne. Qu’elles soient collectées par vos soins, ou par un sous-traitant, vous devez donc vous assurer de la destination des données. Autrement, vous engagez votre propre responsabilité et non celle de votre sous-traitant.

Informer la CNIL en cas de perte ou de vol des données

La conformité RGPD exige que la CNIL et les personnes concernées soient averties sous 72h en cas de perte ou de vol des données.

Faire la mise à jour de vos documents contractuels

Afin que vos clients et salariés puissent faire valoir leurs droits, il est recommandé de mettre à jour vos conditions générales de ventes, vos mentions légales, ainsi que vos divers documents contractuels. L’adresse de votre hébergeur doit par ailleurs être précisée et ce dernier doit obligatoirement être localisé dans un pays de l’UE.

Les sanctions encourues

Lorsque votre entreprise e-commerce ne respecte pas la conformité RGPD, vous risquez une amende d’un montant maximum de 20 millions d’euros, ou 4% du chiffre d’affaires annuel de votre exercice précédent. De plus, lorsqu’un utilisateur estime raisonnablement que sa vie privée n’a pas été respectée, il peut demander une réparation des préjudices subis.

Articles liés à ce sujet :