Le RGPD (Règlement Général sur la Protection des Données) ou GDPR en anglais, entrera en application le 25 mai prochain. En tant qu’e-commerçant, vous devez connaître vos nouvelles obligations pour pouvoir vous y conformer au cours des prochains mois. Découvrez les informations essentielles du règlement.
Important : à travers cet article, nous souhaitons simplement vous partager notre compréhension du RGPD et de ses implications. Ce condensé d'informations ne constitue pas un avis juridique et ne doit en aucun cas se substituer aux conseils personnalisés qu'un avocat pourrait vous apporter.
Qu’est-ce que le RGPD ?
Il s'agit d'un règlement européen sur les données personnelles qui s’appliquera à tout organisme traitant des données personnelles de résidents de l’Union Européenne.
Son objectif est d’harmoniser la protection des données personnelles à travers l’Europe afin de protéger tous les citoyens.
Le règlement définit le terme de "données personnelles" comme toute information dont l’utilisation peut directement ou indirectement identifier une personne : "un nom, une photo, une adresse email, une adresse IP, un post d’un réseau social ou encore une information médicale."
Quelles sont les obligations en e-commerce ?
Collecter uniquement les données nécessaires
Selon le RGPD, vous devez collecter uniquement les données dont vous avez besoin. Par exemple, si vous avez uniquement besoin de l'âge de votre client pour lui faire profiter d'une offre spéciale, demandez-lui sa date de naissance mais pas son lieu de naissance. Vous ne devrez conserver ces données que le temps nécessaire à leur utilisation. Par exemple, la CNIL stipule que :
- "Lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de la réalisation de l’opération de paiement."
- "Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées."
La CNIL indique également "qu'en dehors des cas dans lesquels il existe une obligation d'archivage, les données qui ne présentent plus d’intérêt doivent être supprimées sans délai."
Demander le consentement de vos clients au moment de collecter leurs données personnelles
Avant de récolter les données personnelles de vos clients, vous devrez leur en demander la permission et indiquer la finalité de leur utilisation. Par exemple, si vous proposez un abonnement à une newsletter, vous devez préciser que l'email de la personne ne sera utilisé que pour lui envoyer cette lettre d'information, et lui indiquer comment s'en désabonner si elle le souhaite.
Leur consentement devra vous être donné de manière claire, par la signature d'un contrat ou la complétude d'un formulaire. Notez par exemple que pré-cocher des cases pour obtenir le consentement d'un client sera désormais interdit.
Il vous faudra donc probablement apporter des modifications aux formulaires actuels qui impliquent pour vos clients de vous communiquer une ou plusieurs données à caractère personnel (abonnement à une newsletter, obtention d'une offre promotionnelle, renseignement des détails de livraison, ...)
Enfin, il doit être aussi simple pour vos clients de donner leur consentement que de le retirer. Cette obligation est déjà présente à l'heure actuelle, mais sachez que le RGPD en renforcera l'application en durcissant les sanctions imposées en cas de non-respect (sanctions à retrouver en fin d'article).
Pouvoir fournir aux clients leurs données personnelles en votre possession
Si vos clients demandent leurs données personnelles, vous aurez l'obligation de :
- leur transmettre dans un format lisible et intelligible
- leur indiquer la façon dont laquelle ces données sont utilisées
Respecter le droit à l'effacement
Une des nouveautés les plus impactantes du RGPD est le droit à l'effacement : cela signifie que vos clients peuvent demander l'effacement des données à caractère personnel qui les concernent, dans les situations suivantes :
- les données en question "ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées"
- lorsque la personne retire son consentement pour le traitement de ses données personnelles
- lorsque la personne s'oppose au traitement de ses données et "qu'il n'existe pas de motif légitime impérieux" pour celui-ci
- "les données à caractère personnel ont fait l'objet d'un traitement illicite"
- "les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis"
Vous pouvez consulter l'article 17 du règlement pour connaître l'ensemble des modalités du droit à l'effacement.
Documenter vos procédures de traitement des données
Vous devrez aussi être à tout moment capable de démontrer que le traitement des données de vos clients est "effectué conformément au réglement" si un contrôle avait lieu.
Pour cela, vous devez tenir "un registre des activités de traitement effectuées sous [votre] responsabilité. Ce registre doit comporter :
- "le nom et les coordonnées du responsable du traitement
- les finalités du traitement
- une description des catégories de personnes concernées et des catégories de données à caractère personnel
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale
- dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles"
Sécuriser les données collectées
Les données personnelles en votre possession doivent être protégées contre tout risque de vol, de perte ou de divulgation. Pour cela, vous devez garantir leur sécurité. Voici ce que le règlement propose :
- "Pseudonymiser et chiffrer les données à caractère personnel
- [Mettre en place] des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traiement
- [Mettre en place] des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique
- [Mettre en place] une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement."
Si certaines des données personnelles venaient à être volées ou perdues, il vous faudrait en avertir la CNIL ainsi que les personnes concernées dans les 72 heures.
Vous pouvez retrouver l'ensemble de ces obligations et des détails complémentaires dans le texte du réglement, notamment dans le chapitre IV.
Vous serez certainement rassurés de savoir que les logiciels que vous utilisez, comme les CMS, vont également vous aider à être en conformité. Nous vous invitons à vous rapprocher du vôtre pour connaître plus de détails. Certains publient même en parallèle des articles et dossiers explicatifs. C'est par exemple le cas de Woocommerce.
Quelles sont les sanctions encourues ?
C’est la gravité de l’infraction qui déterminera la hauteur de votre amende : la plus sérieuse consisterait par exemple à traiter des données personnelles de vos clients sans avoir obtenu leur consentement au préalable.
Dans cette situation, vous pourriez avoir à payer l'amende maximale de 4% de votre chiffre d’affaires ou de 20 millions d’euros (c’est le montant le plus élevé des deux qui vous serait demandé).
Ces chiffres sont plutôt disuasifs, n'est-ce pas ? D'où l'intérêt de rendre votre boutique en ligne conforme dès ce début d'année.
Quelles sont les ressources disponibles pour vous préparer ?
Si vous parlez anglais, nous vous invitons à consulter le site de la GDPR. Vous y trouverez un résumé des textes, des liens vers des articles et des vidéos d'analyse ainsi que le règlement lui-même. Si l'anglais n'est pas votre langue de prédilection, vous pouvez également lire le règlement en français sur eur-lex.europa.eu et les articles de la CNIL sur le sujet.
Nous vous conseillons également la lecture de ce dossier : RGPD : bénéficier des effets positifs dans toute l'entreprise, par ZDNet.fr.
Il vous reste 4 mois pour être conforme au nouveau règlement. Nous vous encourageons à procéder aux démarches nécessaires au plus vite ! En étant plus transparent avec vos clients dès aujourd'hui, vous poserez les bases d'une relation de confiance qui peut vous aider à vous démarquer des autres marchands.