CGV conformes au RGPD : quelles sont les modifications à apporter ?

Le 25 mai 2019, le RGPD (Règlement Général sur la Protection des Données) fêtait son premier anniversaire. Cette directive européenne a bouleversé les règles relatives au traitement des données personnelles des utilisateurs sur internet. Parmi les documents à mettre à jour, vous avez sans doute entendu parler de politique de confidentialité ou encore de vos CGV. Un an après, où en êtes-vous dans votre mise en conformité avec le RGPD ?

Vos CGV sont-elles conformes au RGPD ? Quelles modifications ou clauses dois-je apporter suite à l’entrée en vigueur du RGPD ? Quelles sont les sanctions en cas de non-respect ?

Rassurez-vous, vous n’êtes pas le seul à vous les poser. Pour vous aider à répondre à ces questions, Captain Contrat vous propose de revenir sur les modifications à apporter à vos CGV pour être en conformité avec le RGPD :

1. Qu'est-ce que le RGPD ?

Le 25 mai 2018, le RGPD est entré en application avec pour objectif d’harmoniser les pratiques au sein de l’Union Européenne en matière d’utilisation des données personnelles des internautes par les entreprises.

Entré en vigueur depuis le 25 mai 2018 en France, le Règlement concerne tout organisme public ou privé qui récolte, traite ou stock des données personnelles, dès lors que l'organisme réside sur le territoire de l'Union Européenne ou qu'il cible des résidents européens. En tant que dirigeant d'entreprise, vous devez désormais établir des règles en matière de transparence et d’accessibilité de l’information à ses internautes.

L’obligation de consentement de l’internaute

Pour que les données personnelles de l’internaute puissent être utilisées, ce dernier devra expressément avoir donné son consentement. À tout instant, l’internaute pourra revenir sur son accord, s’opposer à un quelconque usage de ses données et réclamer l'ensemble des informations le concernant stockées par l'entreprise.

La charge de la preuve de l’accord revient aux responsables du traitement de données, qui devront prouver que l’internaute a bien donné son consentement.

Le devoir d’information et de transparence

L'entreprise ne devra collecter que les données indispensables pour atteindre ses objectifs et après avoir clairement tenu informé les utilisateurs.

En outre, des mesures de sécurité devront être mises en œuvre pour s’assurer de la sûreté des données collectées et stockées.

Le droit à l’oubli

Chaque site internet et organismes (entreprises publiques, privées…) gérant des données personnelles devront répondre à la demande de suppression des données personnelles d’un individu lorsque ce dernier en fait la demande. Il convient donc de tenir un registre précis permettant de savoir exactement où sont stockées les données en question.

Le Délégué à la Protection des Données

Chaque entreprise doit être en mesure de prouver à tout moment être en conformité avec le règlement européen. Autrement dit, elle doit assurer la protection de la vie privée des utilisateurs en contrôlant les flux de données, leur conservation, la modification ou la suppression de leurs données personnelles.

Un Délégué à la Protection des Données (DPO) devra dans certains cas être nommé, notamment dans les organismes qui traitent un nombre très important de données personnelles, voire sensibles. Son rôle est de :

• Surveiller la bonne mise en œuvre du RGPD au sein de l’entreprise, y compris auprès des salariés,
• Décrire la nature des données personnelles collectées, les raisons de la collecte,
• Enregistrer les destinataires des données personnelles et respecter les dates limites de conservation afin d'anticiper leur suppression,
• Surveiller et mettre toutes les mesures en oeuvre pour éviter toute intrusion ou violations de données personnelles,
• Gérer les requêtes auprès de l’autorité de surveillance.

2. Mettre en conformité vos CGV avec le RGPD

Afin de définir un cadre contractuel, les Conditions Générales de Vente à destination des particuliers ont vocation à établir les obligations et responsabilités de chaque partie au contrat. Établies sous l’égide de la Loi Informatique et Liberté, l’internaute était présumé avoir lu et accepté les CGV. Depuis le RGPD, la règlementation a changé.

CGV et RGPD : une clause spécifique aux données à caractère personnel

Les Conditions Générales de Vente (CGV) devront désormais contenir une clause spécifique sur les données personnelles. Elle devra mentionner l’existence des données à caractère personnel et ainsi que la notion de consentement donné par le consommateur.

Plusieurs mentions devront être faites dans cette clause :

• L’identité et les coordonnées du responsable du traitement des données personnelles : entreprise, sous-traitant…
• Le fondement juridique du traitement : consentement de la personne, exécution du contrat, fondement légal…
• L’objet de la collecte et les destinataires des données personnelles : diffusion à des fins commerciales, accès à l’espace client…
• La durée de conservation des données
• Les droits de la personne sur leurs données personnelles : droit d’accès, droit au retrait de consentement, droit de rectification, suppression des données, droit à limiter le traitement, droit à la portabilité…
• L’usage des cookies : consentement ou non de l’internaute
• La sécurité des données personnelles : les outils pratiques et organisationnels pour garantir la sécurité des données personnelles collectées…
• Les modalités de réclamation auprès de la CNIL.

L’entrepreneur pourra notamment créer une page dédiée à la politique de confidentialité. L’internaute cliquera ainsi sur une nouvelle fenêtre dédiée spécifiquement aux données à caractère personnel.

En outre, lors du paiement, l’internaute devra valider les CGV en cochant une case dédiée pour indiquer son consentement.

3. Les sanctions en cas de non-respect du rgpd dans les CGV

Le principe de responsabilisation des entreprises

Depuis le 25 mai 2018, les CGV doivent être conformes à la nouvelle règlementation protégeant les données personnelles des acheteurs.

Pour se faire, le RGPD repose sur le fait que les entreprises privées sont responsables de leurs actions et ont l’obligation de se mettre en conformité avec la règlementation européenne par leurs propres moyens.

Le règlement opère également une distinction en fonction du rôle de l'organisme : responsable du traitement des données ou le sous-traitant. Il est essentiel que chaque acteur connaisse son rôle. Un sous-traitant peut également être sanctionné.

Les sanctions en cas de non-respect du RGPD

Une autorité de contrôle, la CNIL (Commission Nationale de l’Informatique et des Libertés) est en charge de veiller au respect et à la bonne application du RGPD.

En cas de non-respect, des sanctions très lourdes pourront être dictées. En effet, la CNIL est en droit d’imposer des sanctions administratives, graduées selon la violation, prévues en cas de manquement au RGPD.

Deux niveaux de sanctions existent selon le type d’infraction :

• Les manquements les plus faibles : une amende maximale de 10 millions d’euros ou 2% du chiffre d’affaires mondial
• Les manquements les plus graves : une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros

Ces sommes importantes étaient dans un premier temps énoncées dans un but dissuasif. Si l'on entend beaucoup parler des grandes entreprises (Facebook, Google, Microsoft…), les petites entreprises ne sont pas épargnées. Ceci d'autant plus qu'un an après l'entrée en vigueur du règlement, la CNIL durcit le ton. Le temps de la pédagogie et de la tolérance semble arriver à son terme, et laisser place à plus forte autorité.

Pour aller plus loin : Découvrez l'article de Maître Mirabel-Chambaud et ses conseils exclusifs pour créer un site e-commerce conforme à la loi. 

4. Vous souhaitez mettre à jour vos CGV ?

Faites-vous assister par des professionnels compétents, ne prenez pas de risque ! Optez pour un accompagnement simple et certifié : choisissez l’accompagnement juridique Captain Contrat afin de mettre vos CGV en conformité avec le RGPD.