Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
  1. Ressources
  2. Contrats commerciaux
  3. CGV/CGU/CGA
  4. CGV conformes au RGPD : quelles sont les modifications à apporter ?

CGV conformes au RGPD : quelles sont les modifications à apporter ?

Maxime Wagner
Maxime Wagner Co-fondateur de Captain Contrat. Diplômé de Centrale Lille et l'ESSEC. Relu par Pierre-Florian Dumez, Diplômé en droit

Le Règlement général sur la protection des données (RGPD) est applicable depuis le 25 mai 2018. Il vise à protéger les données à caractère personnel des utilisateurs d'un site internet. Il doit être pris en compte lorsqu’une entreprise rédige ou met à jour sa politique de confidentialité ou ses conditions générales de vente (CGV)

Quelles sont les obligations en matière de protection des données personnelles ? Comment rédiger des CGV conformes au RGPD ?

Captain Contrat fait le point sur la mise en conformité des CGV au RGPD.


Qu'est-ce que le RGPD ?

 

Le 25 mai 2018, le RGPD est entré en application avec pour objectif d’harmoniser les pratiques au sein de l’Union Européenne en matière d’utilisation des données personnelles des internautes par les entreprises.

📩 Point de vigilance :
Le Règlement concerne tout organisme public ou privé qui récolte, traite ou stocke des données personnelles, dès lors que l'organisme est installé sur le territoire de l'Union Européenne ou qu'il cible des résidents européens. 

 

Si vous collectez des données personnelles (nom, prénom, informations de connexions, adresse mail, etc), le RGPD vous est applicable. Vous avez l'obligation de respecter les grands principes suivants :

 

Le consentement de l’internaute au traitement de ses données

 

Pour que les données personnelles de l’internaute puissent être utilisées, ce dernier devra expressément avoir donné son consentement. À tout instant, l’internaute pourra revenir sur son accord, s’opposer à un quelconque usage de ses données et réclamer une copie de l'ensemble des informations le concernant stockées par l'entreprise.

✏️ À noter :
La charge de la preuve de l’accord revient aux responsables du traitement de données, qui devront prouver que l’internaute a bien donné son consentement.

 

Le devoir d’information et de transparence

 

L'entreprise ne devra collecter que les données indispensables pour atteindre ses objectifs et après avoir clairement tenu informé les utilisateurs. En outre, des mesures de sécurité devront être mises en œuvre pour s’assurer de la sûreté des données collectées et stockées.

 

Le droit à l’oubli

 

Chaque site internet et organismes (entreprises publiques, privées…) gérant des données personnelles devront répondre à la demande de suppression des données personnelles d’un individu lorsque ce dernier en fait la demande. Il convient donc de tenir un registre précis permettant de savoir exactement où sont stockées les données en question.

 

Le délégué à la Protection des Données

 

Chaque entreprise doit être en mesure de prouver à tout moment être en conformité avec le règlement européen. Autrement dit, elle doit assurer la protection de la vie privée des utilisateurs en contrôlant les flux de données, leur conservation, la modification ou la suppression de leurs données personnelles.

Un Délégué à la Protection des Données (DPO) devra dans certains cas être nommé, notamment dans les organismes qui traitent un nombre très important de données personnelles, voire sensibles. Son rôle est de :

  • Surveiller la bonne mise en œuvre du RGPD au sein de l’entreprise, y compris auprès des salariés,
  • Décrire la nature des données personnelles collectées, les raisons de la collecte,
  • Enregistrer les destinataires des données personnelles et respecter les dates limites de conservation afin d'anticiper leur suppression,
  • Surveiller et mettre toutes les mesures en œuvre pour éviter toute intrusion ou violations de données personnelles,
  • Gérer les requêtes auprès de l’autorité de surveillance.

✏️ À noter :
Si la nomination d'un DPO n'est pas obligatoire dans tous les cas, il est conseillé de désigner au sein de l'entreprise un référent pour les questions liées à la protection des données personnelles. 

 

Comment mettre vos CGV en conformité avec le RGPD ?

 

Les Conditions Générales de Vente à destination des particuliers ont vocation à établir les obligations et responsabilités de chaque partie au contrat. Si la Loi Informatique et Liberté prévoyait déjà certaines obligations pour les professionnels, l'entrée en vigueur du RGPD nécessite de mettre à jour les CGV. 

 

CGV et RGPD : une clause spécifique aux données à caractère personnel

 

Les Conditions Générales de Vente (CGV) devront désormais contenir une clause spécifique sur les données personnelles. Elle devra mentionner l’existence des données à caractère personnel et ainsi que la notion de consentement donné par le consommateur.

Plusieurs mentions devront être faites dans cette clause :

  • L’identité et les coordonnées du responsable du traitement des données personnelles : entreprise, sous-traitant ;
  • Le fondement juridique du traitement : consentement de la personne, exécution du contrat, fondement légal ;
  • L’objet de la collecte et les destinataires des données personnelles : diffusion à des fins commerciales, accès à l’espace client ;
  • La durée de conservation des données ;
  • Les droits de la personne sur leurs données personnelles : droit d’accès, droit au retrait de consentement, droit de rectification, suppression des données, droit à limiter le traitement, droit à la portabilité ;
  • L’usage des cookies : consentement ou non de l’internaute ;
  • La sécurité des données personnelles : les outils pratiques et organisationnels pour garantir la sécurité des données personnelles collectées ;
  • Les modalités de réclamation auprès de la CNIL.

 

👨🏻‍💻 On vous guide :
Vous pouvez rassembler toutes les informations relatives à la protection des données personnelles dans un document intitulé « politique de confidentialité ». Dans ce cas-là, vos CGV doivent renvoyer vers cette politique. 

 

En outre, lors du paiement ou de son inscription, l’internaute devra valider les CGV en cochant une case dédiée pour formaliser son consentement.

 

CGV RGPD

 

Quelles sont les sanctions en cas de non-respect du RGPD dans les CGV ?

 

Le principe de responsabilisation des entreprises

 

Depuis le 25 mai 2018, les CGV doivent être conformes à la nouvelle règlementation protégeant les données personnelles des acheteurs.

Pour ce faire, le RGPD repose sur le fait que les entreprises privées sont responsables de leurs actions et ont l’obligation de se mettre en conformité avec la règlementation européenne par leurs propres moyens.

Le règlement opère également une distinction en fonction du rôle de l'organisme entre :

  • Responsable du traitement des données ;
  • Sous-traitant : ce dernier peut être sanctionné s'il ne respecte pas ses obligations. 

 

Les sanctions en cas de non-respect du RGPD

 

Une autorité de contrôle, la CNIL (Commission Nationale de l’Informatique et des Libertés) est en charge de veiller au respect et à la bonne application du RGPD.

En cas de non-respect, des sanctions très lourdes pourront être dictées. En effet, la CNIL est en droit d’imposer des sanctions administratives, graduées selon la violation, prévues en cas de manquement au RGPD.

Deux niveaux de sanctions existent selon le type d’infraction :

  • Les manquements les plus faibles : une amende maximale de 10 millions d’euros ou 2% du chiffre d’affaires mondial.
  • Les manquements les plus graves : une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros.

 

Ces sanctions ne sont pas réservées aux géants du web comme Facebook, Google ou Microsoft. Il n'est pas rare de voir des entreprises de plus petites envergures condamnées à de très lourdes amendes.

Toutes les entreprises doivent donc garder en tête que leur site e-commerce doit être conforme à la loi

 

Vous souhaitez mettre à jour vos CGV ?

 

Faites-vous assister par des professionnels compétents, ne prenez pas de risque. Choisissez l’accompagnement juridique Captain Contrat afin de mettre vos CGV en conformité avec le RGPD.

En résumé :
  • Le RGPD impose à toutes les entreprises qui collectent des données personnelles d'informer leurs utilisateurs sur le traitement de leurs données.
  • Si vous avez des CGV, vous devez les mettre à jour et vous assurer qu'elles contiennent toutes les informations relatives à la protection des données. 
  • Le RGPD prévoit de lourdes sanctions en cas de manquement

FAQ


  • La notion de donnée personnelle est plus large que le nom, le prénom ou le numéro de téléphone d'une personne. Toutes les données qui permettent de remonter à une personne identifiée ou identifiable sont des données personnelles. Ainsi, une donnée de connexion comme une adresse IP est considérée comme une donnée personnelle.

  • Les CGV fixent un cadre contractuel entre un vendeur ou un prestataire de services et ses clients. La politique de confidentialité est un document qui permet d'informer les utilisateurs sur le traitement de leurs données personnelles et sur leurs droits relatifs à leur vie privée. 

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre

Faites rédiger vos CGV par un avocat
Obtenir mes CGV
Maxime Wagner
Ecrit par Maxime Wagner
Maxime Wagner est diplômé de Centrale Lille et d'un MBA à l'ESSEC. Il démarre sa carrière dans la distribution, où il s'intéresse aux méthodes de management et d'organisation ainsi qu'aux problématiques d'innovation. Fin 2012, il quitte Carrefour et lance, avec Philippe, Captain Contrat. Son objectif : lancer une start-up à impact positif sur la société et dans laquelle chacun est heureux de travailler.

Ces articles pourraient également vous intéresser

Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?
Mentions légales conformes au RGPD : nos conseils
5 min
Mentions légales conformes au RGPD : nos conseils
RGPD et e-commerce : 4 actions concrètes à mener en 2024
4 min
RGPD et e-commerce : 4 actions concrètes à mener en 2024
RGPD : qui est concerné ?
3 min
RGPD : qui est concerné ?
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
6 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
7 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Startup et RGPD : les 5 questions les plus posées
8 min
Startup et RGPD : les 5 questions les plus posées
Qu’est-ce que la charte des données personnelles d’un site internet ?
2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
Qu’est-ce qu’une charte/politique de confidentialité ?
4 min
Qu’est-ce qu’une charte/politique de confidentialité ?