RGPD : Les actions concrètes à mener
Le Règlement général de protection des données (RGPD) est entré en application le 25 mai 2018. Depuis cette date, toutes les structures publiques et privées, notamment les sites e-commerce, qui collectent des données personnelles doivent respecter les dispositions mises en place par ce règlement.
Pendant ce temps, la Commission nationale de l’informatique et des libertés (CNIL) s’offre le rôle du gendarme chargé d’assurer le respect strict de ces dispositions. Quelles sont les recommandations du RGPD et quelles sont les actions à mener pour avoir un site e-commerce conforme ? Découvrez notre checklist dans cet article.
Qu’est-ce qu’une donnée personnelle ?
Les données personnelles sont toutes les données permettant d’identifier une personne. Le RGPD est très clair à ce propos :
« Notamment par référence à un identifiant, par exemple un nom, un numéro d’identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
On en déduit que des données telles que les noms, prénoms, e-mails, ou même l’adresse IP de vos visiteurs sont des données personnelles. Vous devez réfléchir à la manière dont vous allez recueillir et utiliser ces données dès la phase de création de votre site e-commerce.
Faire une liste des données personnelles à collecter
Pour mettre votre site web en conformité avec le RGPD, vous devez déterminer :
- les données que vous collectez directement ou indirectement : les catégories de données collectées sur votre site e-commerce ou qui sont reprises depuis d’autres sources ;
- Quand et comment vous collectez ces données :
- La finalité de ces données (seront-elles stockées ou traitées ?) ;
- les parties qui ont accès à ces données et ce qu’ils en font : il peut s’agir de partenaires marketing, techniques, logistiques.
Si à l’inverse, c’est vous qui avez accès à des données collectées par d’autres partenaires, vous devez connaître vos obligations.
Vérifier que vous respectez les limites
Le RGPD définit certaines limites en ce qui concerne la collecte des données. Par exemple :
- vous ne devez collecter ou traiter que des données qui vous sont nécessaires ;
- vous ne devez pas traiter des données sensibles. Si vous les traitez, vérifiez bien que vous en avez le droit ;
- uniquement les personnes habilitées ont le droit d’accéder aux données qui leur sont indispensables ;
- vous ne devez pas conserver des données qui ne vous sont plus nécessaires.
Il convient donc d’adopter de bonnes pratiques en redéfinissant les règles d’accès, de destruction ou d’archivage des données que vous collectez.
Sécuriser les données que vous collectez
En tant que e-commerçant, le RGPD veut que vous déterminiez les risques qu’encourent les données auxquelles votre site e-commerce et votre entreprise ont accès. En général, ces risques sont liés à une sauvegarde légère des données sur des ordinateurs, tablettes ou même des mobiles ou encore au vol de clients/prospects.
Vous devez de ce fait mettre en place les mesures nécessaires pour garantir la sécurité des données de vos utilisateurs. Puisque le risque zéro n’existe pas, il vous est recommandé de signaler les cas de violation de données personnelles à la CNIL dans un délai maximum de 72 heures.
Toutefois, vous ne pouvez pas savoir exactement comment vos prestataires (hébergeur, sous-traitants, etc.) utilisent ces données. Dans la pratique, la meilleure façon de vous couvrir vis-à-vis du RGPD est de revoir vos contrats avec vos sous-traitants. Vous pouvez notamment y ajouter des clauses spécifiques qui les responsabilisent.
Pour chaque sous-traitant, le contrat doit faire ressortir la réalité des dispositions de l’article 28 du RGPD :
- l’objet des traitements et la durée de la prestation ;
- les types de données qui seront traitées ;
- le statut des personnes concernées ;
- les droits et obligations du responsable de traitement ;
- l’engagement du prestataire de signaler immédiatement tout accès non autorisé ou toute fuite de données.
Le sous-traitant doit également mentionner s’il fait appel ou non à d’autres prestataires. Si c’est le cas, il devra leur imposer les dispositions du RGPD et se porter garant de leur respect. Il doit par ailleurs garantir que ses services, applications et outils respectent les dispositions du RGPD et soumettre ses employés à une obligation de confidentialité.
Assurer la portabilité des données, droits d’accès et de rectification et retrait du consentement
Les propriétaires de sites e-commerce doivent respecter les droits des personnes dont ils détiennent des données (clients, prestataires, collaborateurs, etc.). Concrètement, vous devez faire preuve de transparence et les informer de tous les détails concernant la collecte, le traitement et le stockage de leurs données : quand ? Comment ? Pourquoi ? Qui a accès ? Pour quelle durée ? Qu’est-ce qui autorise ?
Vous devez de plus leur permettre d’exercer facilement leurs droits d’accès, de rectification, de récupération ou de suppression. Faites preuve d’imagination quant au moyen à utiliser pour que l’utilisation de votre site soit facile à vos clients. Vous pouvez par exemple prévoir une adresse de contact, un formulaire ou un numéro de téléphone qui permette de vous contacter. Si votre site internet propose un compte en ligne, permettez-leur de gérer leurs données depuis leurs comptes.
Gardez à l’esprit que ces personnes ont le droit d’obtenir leurs données dans un format structuré et exploitable, de les transférer ou de s’opposer à tout moment au traitement de ces données.
Mettre en place les bons réflexes
Les visiteurs sur votre site internet doivent être informés de l’utilisation de leurs données au plus tard au moment de la première communication, c’est-à-dire à chaque première fois où vous récupérez une donnée. Pour vous simplifier la tâche, vous pouvez afficher une partie de ces informations sur le formulaire utilisé et indiquer le reste dans une page privée/politique de confidentialité sur votre site e-commerce.
Sur ce point, il est capital de :
- mettre à jour votre politique de confidentialité et vos conditions générales de vente
- afficher un bandeau cookie à chaque première connexion pour demander l’autorisation de collecter des données personnelles ;
- informer l’utilisateur de la procédure pour annuler son consentement.
Dans tous les cas, les formulaires de récupération de données que ce soit un formulaire de commande, un formulaire d’inscription à la newsletter, etc. doivent être conforme au RRPD. Pour plus de sécurité, il est préférable de faire recours à un professionnel pour la création de votre site e-commerce et pour la rédaction de vos CGV et de votre politique de confidentialité.