Votre avis nous intéresse ! Aidez-nous à améliorer votre expérience et bénéficiez de -10% sur votre prochaine commande en cliquant ici.
  1. Contrats commerciaux
  2. CGV/CGU/CGA
  3. CGV conformes au RGPD : quelles sont les modifications à apporter ?

CGV conformes au RGPD : quelles sont les modifications à apporter ?

Maxime Wagner
Écrit par Maxime Wagner Cofondateur de Captain Contrat et diplômé de Centrale Lille et de l'ESSEC

Le 25 mai 2019, le RGPD (Règlement Général sur la Protection des Données) fêtait son premier anniversaire. Cette directive européenne a bouleversé les règles relatives au traitement des données personnelles des utilisateurs sur internet. Parmi les documents à mettre à jour, vous avez sans doute entendu parler de politique de confidentialité ou encore de vos CGV. Un an après, où en êtes-vous dans votre mise en conformité avec le RGPD ?

Vos CGV sont-elles conformes au RGPD ? Quelles modifications ou clauses dois-je apporter suite à l’entrée en vigueur du RGPD ? Quelles sont les sanctions en cas de non-respect ?

Rassurez-vous, vous n’êtes pas le seul à vous les poser. Pour vous aider à répondre à ces questions, Captain Contrat vous propose de revenir sur les modifications à apporter à vos CGV pour être en conformité avec le RGPD :

 


1. Qu'est-ce que le RGPD ?

 

Le 25 mai 2018, le RGPD est entré en application avec pour objectif d’harmoniser les pratiques au sein de l’Union Européenne en matière d’utilisation des données personnelles des internautes par les entreprises.

Entré en vigueur depuis le 25 mai 2018 en France, le Règlement concerne tout organisme public ou privé qui récolte, traite ou stock des données personnelles, dès lors que l'organisme réside sur le territoire de l'Union Européenne ou qu'il cible des résidents européens. En tant que dirigeant d'entreprise, vous devez désormais établir des règles en matière de transparence et d’accessibilité de l’information à ses internautes.

 

L’obligation de consentement de l’internaute

 

Pour que les données personnelles de l’internaute puissent être utilisées, ce dernier devra expressément avoir donné son consentement. À tout instant, l’internaute pourra revenir sur son accord, s’opposer à un quelconque usage de ses données et réclamer l'ensemble des informations le concernant stockées par l'entreprise.

La charge de la preuve de l’accord revient aux responsables du traitement de données, qui devront prouver que l’internaute a bien donné son consentement.

 

Le devoir d’information et de transparence

 

L'entreprise ne devra collecter que les données indispensables pour atteindre ses objectifs et après avoir clairement tenu informé les utilisateurs.

En outre, des mesures de sécurité devront être mises en œuvre pour s’assurer de la sûreté des données collectées et stockées.

 

Le droit à l’oubli

 

Chaque site internet et organismes (entreprises publiques, privées…) gérant des données personnelles devront répondre à la demande de suppression des données personnelles d’un individu lorsque ce dernier en fait la demande. Il convient donc de tenir un registre précis permettant de savoir exactement où sont stockées les données en question.

 

Le Délégué à la Protection des Données

 

Chaque entreprise doit être en mesure de prouver à tout moment être en conformité avec le règlement européen. Autrement dit, elle doit assurer la protection de la vie privée des utilisateurs en contrôlant les flux de données, leur conservation, la modification ou la suppression de leurs données personnelles.

Un Délégué à la Protection des Données (DPO) devra dans certains cas être nommé, notamment dans les organismes qui traitent un nombre très important de données personnelles, voire sensibles. Son rôle est de :

  • Surveiller la bonne mise en œuvre du RGPD au sein de l’entreprise, y compris auprès des salariés,
  • Décrire la nature des données personnelles collectées, les raisons de la collecte,
  • Enregistrer les destinataires des données personnelles et respecter les dates limites de conservation afin d'anticiper leur suppression,
  • Surveiller et mettre toutes les mesures en oeuvre pour éviter toute intrusion ou violations de données personnelles,
  • Gérer les requêtes auprès de l’autorité de surveillance.

 

2. Mettre en conformité vos CGV avec le RGPD

 

Afin de définir un cadre contractuel, les Conditions Générales de Vente à destination des particuliers ont vocation à établir les obligations et responsabilités de chaque partie au contrat. Établies sous l’égide de la Loi Informatique et Liberté, l’internaute était présumé avoir lu et accepté les CGV. Depuis le RGPD, la règlementation a changé.

 

CGV et RGPD : une clause spécifique aux données à caractère personnel

 

Les Conditions Générales de Vente (CGV) devront désormais contenir une clause spécifique sur les données personnelles. Elle devra mentionner l’existence des données à caractère personnel et ainsi que la notion de consentement donné par le consommateur.

Plusieurs mentions devront être faites dans cette clause :

  • L’identité et les coordonnées du responsable du traitement des données personnelles : entreprise, sous-traitant…
  • Le fondement juridique du traitement : consentement de la personne, exécution du contrat, fondement légal…
  • L’objet de la collecte et les destinataires des données personnelles : diffusion à des fins commerciales, accès à l’espace client…
  • La durée de conservation des données
  • Les droits de la personne sur leurs données personnelles : droit d’accès, droit au retrait de consentement, droit de rectification, suppression des données, droit à limiter le traitement, droit à la portabilité…
  • L’usage des cookies : consentement ou non de l’internaute
  • La sécurité des données personnelles : les outils pratiques et organisationnels pour garantir la sécurité des données personnelles collectées…
  • Les modalités de réclamation auprès de la CNIL.

 

L’entrepreneur pourra notamment créer une page dédiée à la politique de confidentialité. L’internaute cliquera ainsi sur une nouvelle fenêtre dédiée spécifiquement aux données à caractère personnel.

En outre, lors du paiement, l’internaute devra valider les CGV en cochant une case dédiée pour indiquer son consentement.

 

3. Les sanctions en cas de non-respect du rgpd dans les CGV

 

Le principe de responsabilisation des entreprises

 

Depuis le 25 mai 2018, les CGV doivent être conformes à la nouvelle règlementation protégeant les données personnelles des acheteurs.

Pour se faire, le RGPD repose sur le fait que les entreprises privées sont responsables de leurs actions et ont l’obligation de se mettre en conformité avec la règlementation européenne par leurs propres moyens.

Le règlement opère également une distinction en fonction du rôle de l'organisme : responsable du traitement des données ou le sous-traitant. Il est essentiel que chaque acteur connaisse son rôle. Un sous-traitant peut également être sanctionné.

 

Les sanctions en cas de non-respect du RGPD

 

Une autorité de contrôle, la CNIL (Commission Nationale de l’Informatique et des Libertés) est en charge de veiller au respect et à la bonne application du RGPD.

En cas de non-respect, des sanctions très lourdes pourront être dictées. En effet, la CNIL est en droit d’imposer des sanctions administratives, graduées selon la violation, prévues en cas de manquement au RGPD.

Deux niveaux de sanctions existent selon le type d’infraction :

  • Les manquements les plus faibles : une amende maximale de 10 millions d’euros ou 2% du chiffre d’affaires mondial
  • Les manquements les plus graves : une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros

 

Ces sommes importantes étaient dans un premier temps énoncées dans un but dissuasif. Si l'on entend beaucoup parler des grandes entreprises (Facebook, Google, Microsoft…), les petites entreprises ne sont pas épargnées. Ceci d'autant plus qu'un an après l'entrée en vigueur du règlement, la CNIL durcit le ton. Le temps de la pédagogie et de la tolérance semble arriver à son terme, et laisser place à plus forte autorité.

Pour aller plus loin : Découvrez l'article de Maître Mirabel-Chambaud et ses conseils exclusifs pour créer un site e-commerce conforme à la loi

 

4. Vous souhaitez mettre à jour vos CGV ?

 

Faites-vous assister par des professionnels compétents, ne prenez pas de risque ! Optez pour un accompagnement simple et certifié : choisissez l’accompagnement juridique Captain Contrat afin de mettre vos CGV en conformité avec le RGPD.

 

Besoin d'être accompagné ?
Obtenir des CGV

Ces articles pourraient également vous intéresser

RGPD : qui est concerné ?
3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Comment trouver un avocat en RGPD à Paris ?
3 min
Comment trouver un avocat en RGPD à Paris ?

Vous êtes à Paris et souhaitez vous mettre à jour sur les sujets RGPD ? Faites appel à un avocat spécialiste du RGPD ! Celui-ci vous accompagne à tous les stades du processus de mise en conformité.

La sensibilisation de l'entreprise au RGPD : une étape obligatoire
5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?
5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site.

Avocat en RGPD à Nice : mode d'emploi pour le trouver
4 min
Avocat en RGPD à Nice : mode d'emploi pour le trouver

RGPD, données personnelles, conformité... Faites appel à un avocat en RGPD dans la région de Nice. Il saura vous conseiller et vous aider dans la mise en place des différentes actions pour vous mettre en conformité.

Avocat en RGPD à Marseille : comment trouver le bon ?
3 min
Avocat en RGPD à Marseille : comment trouver le bon ?

A la tête d'une entreprise à Marseille, vous souhaitez vous mettre à jour sur le sujet RGPD ? L'avocat en RGPD est tout indiqué ! Il est le partenaire idéal pour vous accompagner dans cette démarche.

Les solutions pour trouver un avocat en RGPD à Lyon
4 min
Les solutions pour trouver un avocat en RGPD à Lyon

Installé à Lyon, vous souhaitez appliquer le RGPD au sein de votre entreprise ? Faites appel à un avocat en RGPD ! Il est le plus à même de vous conseiller vous accompagner tout au long du processus de mise en conformité.

Avocat en RGPD à Bordeaux : quelles solutions pour le trouver ?
3 min
Avocat en RGPD à Bordeaux : quelles solutions pour le trouver ?

Votre entreprise basée à Bordeaux n'est pas à jour sur les sujets RGPD ? Contactez un avocat en RGPD ! Ce professionnel vous accompagner dans le processus de mise en conformité.

Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?

Un nouveau texte sur la protection des données personnelles entre prochainement en vigueur. Découvrez ce qu'il comportera pour rester à jour.

Comment conformer ses mentions légales au RGPD
5 min
Comment conformer ses mentions légales au RGPD

Captain Contrat fait le point avec vous sur les étapes à effectuer pour conformer ses mentions légales au RGPD.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier