Votre avis nous intéresse ! Aidez-nous à améliorer votre expérience et bénéficiez de -10% sur votre prochaine commande en cliquant ici.
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. RGPD et e-commerce : 4 actions concrètes à mener en 2023

RGPD et e-commerce : 4 actions concrètes à mener en 2023

Amélie Gautier
Écrit par Amélie Gautier Responsable contenu et diplômée d'un Master II en droit des affaires de l'Université de Versailles Saint-Quentin-en Yvelines

Le 25 mai 2018, le RGPD (Règlement Général de Protection des Données) est entré en application. Avec ce nouveau règlement, l’Europe a voulu mettre un cadre aux échanges, récupérations, utilisations de données personnelles. Ce règlement s'inscrit dans la continuité de la loi Informatique et Libertés de 1978 en France.

Depuis mai 2018, le RGPD doit être respecté par tous les concernés. Qui sont-ils ? Le RGPD concerne toutes les structures privées ou publiques qui récoltent et traitent des données personnelles notamment les sites de e-commerce.

La Commission nationale de l'informatique et des libertés (CNIL), change au passage de rôle, est devient le gendarme chargé de faire respecter ce règlement, avec potentiellement de lourdes sanctions pour les contrevenants.

Si vous avez un site e-commerce et que vous avez du mal à comprendre concrètement quelles sont les actions à mettre en place dans le cadre du RGPD et en quoi cela change votre activité, voici une liste des choses essentielles à mettre en œuvre.

 

 

Le RGPD expliqué en deux minutes

 


1 – Lister les données personnelles collectées

 

Redéfinissons tout d’abord ce que le RGPD entend par données personnelles.
Ce sont toutes les données qui permettent l’identification d’une personne : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »

Si on prend au pied de la lettre cette définition, alors même l’adresse IP de vos visiteurs est une donnée personnelle. Quoi qu’il en soit, les prénoms, noms, e-mails, adresses de vos clients, de vos abonnés à une newsletter sont des données personnelles.

Pour respecter le RGPD, vous devez savoir exactement :

  • quelles sont les données que vous collectez directement (ou par un autre biais),
  • quand et comment vous les récupérez,
  • ce que vous en faites (sont-elles traitées ? où sont-elles stockées ?),
  • quelles tierces parties (partenaires techniques, marketing, logistiques) y ont accès.

Faites particulièrement attention au dernier point car si les données que vous collectez sont transmises à des partenaires ou sous-traitants, vous devez savoir exactement ce qu’ils en font. Ainsi, les accords que vous avez avec eux doivent être mis à jour avec de nouvelles conditions relatives à ces données transmises. Inversement, si vous êtes le maillon d’une chaîne de traitement de données ou le destinataire de données personnelles, vous devez aussi vérifier quelles sont vos obligations. Par exemple, si vous faites des offres aux clients d’un de vos partenaires, vous devez prendre en compte les obligations du RGPD. Notez d’ailleurs que le RGPD énonce clairement que vous ne devez collecter que les données dont vous avez besoin.

 

2 – Déterminez les risques qu’encourent les données personnelles dans votre système en tant que E-commerçants

 

Ce point est un des plus délicats du RGPD pour les e-commerçants. La loi veut en effet que vous soyez en capacité d'identifier les risques auxquels sont soumis les données qui transitent par votre site et votre entreprise.

Hormis les cas usuels de vols de clients/prospects ou de sauvegarde un peu légère de données personnelles sur quelques tableurs éparpillés, plusieurs ordinateurs, voir même dans les mobiles des employés, le principal problème concerne la sécurité des données personnelles chez les sous-traitants. En pratique, un site d’e-commerce « expose » les données personnelles de ses clients ou prospects à de nombreux prestataires techniques et logistiques sur lesquels il n’a aucun contrôle.

En effet, vous ne pouvez pas vraiment savoir à quels risques sont soumis vos données chez l’hébergeur de votre site, et ceci d’autant plus avec la mode actuelle du cloud ou de tous les systèmes de gestion, vérification, stabilisation qui sont à l’œuvre dans les infrastructures d’hébergement. En ce qui concerne la logistique, vous ne savez pas par exemple quels sont les sous-traitants de votre logisticien pour le fameux « dernier kilomètre ». Comment faire aussi avec le prestataire à qui vous confiez la tâche d’envoyer vos mailings ?

Concrètement la seule façon de vous couvrir est de changer les contrats que vous avez avec vos sous-traitants en ajoutant des clauses spécifiques concernant ce point.

Vous n’aurez pas de problème à revoir les contrats car le RGPD responsabilise aussi les sous-traitants qui ont des obligations spécifiques pour aider les responsables de traitements. Ainsi, les contrats avec les sous-traitants doivent mentionner la réalité des dispositions de l’article 28 du RGPD (article spécifique aux sous-traitants) avec notamment :

  • l’objet et la durée de la prestation effectuée pour le compte du client,
  • le type de données à caractère personnel que vous traitez pour le compte de votre client,
  • les catégories de personnes concernées,
  • vos obligations et vos droits en tant que responsable de traitement,
  • l’engagement du sous-traitant de signaler immédiatement toute fuite de données.

Il est aussi conseillé de mettre par écrit les instructions données au sous-traitant afin de prouver, le cas échéant sa bonne foi. Ceci impose de décrire précisément les traitements qui lui sont demandés.

Par ailleurs, il faut que le sous-traitant indique s'il a lui même fait appel à des sous-traitants ou pas (et dans ce cas, outre le fait de le permettre ou pas, il faut lui demander de garantir qu’il leur a imposé les dispositions du RGPD).
Le sous-traitant doit également garantir que ses outils, applications, services respectent le RGPD notamment en ce qui concerne la quantité de données collectées, l’étendue de leur traitement, la durée de conservation et le nombre de personnes qui y a accès.

Notons aussi que les employés du sous-traitant doivent être soumis à une obligation de confidentialité.

 

3 – Vérifier que vous assurez bien lA portabilité des données, droit d’accès et de rectification, retrait du consentement

 

Si vous étiez déjà habitué(e) à demander aux visiteurs et clients de votre site d’accepter les cookies, vous allez facilement comprendre ce point.

Le RGPD donne à toute personne dont vous avez quelques données personnelles les droits suivants :

  • Droit d’accès et rectification des informations
  • Droit d’obtenir les données dans un format structuré, couramment utilisé et lisible par une machine (droit à la portabilité des données)
  • Droit de transférer les données directement auprès d’un nouveau responsable du traitement.
  • Droit d’opposition à tout moment, au traitement de ses données y compris pour le profilage

Les internautes doivent être avertis de ces droits « au plus tard au moment de la première communication avec la personne concernée » ce qui veut dire, en théorie, qu’à chaque première récupération de données, vous devez avertir l’internaute de manière claire. Il convient également de lui demander la validation de la prise en compte de ses droits et de l’informer sur la manière dont il peut accéder à ses données pour éventuellement les modifier, en demander la suppression ou leur transmission.


Si on considère que les adresses IP ou que les informations remontées par vos outils statistiques sont des données personnelles, il convient d'informer les droits de l'internaute dès sa première visite sur votre site.

Dans tous les cas, veillez à ce que les formulaires de récupération de données, qu’il s'agisse de formulaire d’abonnement à des newsletters, de formulaire de commande , etc.. soient conformes au RGPD et contiennent donc des passages spécifiques relatifs à ces droits.

En ce qui concerne la logistique à mettre en place pour que les internautes puissent accéder, modifier ou faire supprimer leurs données et les récupérer dans un format exploitable, il vous faudra par exemple construire des interfaces spécifiques et mettre en place un canal de communication dédié à ces demandes pour pouvoir les traiter « à la main » dans un premier temps.

 

4 - Faire mettre à jour votre politique de confidentialité par un professionnel

 

Comme nous l’avons vu lors des 3 points précédents, le RGPD est une réforme importante, entrainant de nombreux changement mais encore assez floue quand à ses modes d'applications. Ainsi, l’important est de montrer sa bonne foi et de se garder d’éventuels litiges avec vos clients/internautes mécontents ou de concurrents.

La chose essentielle à mettre en place dès que possible est une refonte de vos conditions générales de vente et de rédiger une politique de confidentialité conforme au RGPD, afin de montrer que vous avez pris en compte les évolutions dues au RGPD.


Sur le fondement de cette loi, la CNIL a déjà prononcé des sanctions, par exemple à l'encontre de société DARTY. En cas de doute, mieux vaut vous faire accompagner par un professionnel afin de bénéficier de sa garantie en cas de contrôle par la CNIL.

 

Besoin de conseils juridiques ?
Consulter un avocat spécialisé en RGPD

Ces articles pourraient également vous intéresser

La sensibilisation de l'entreprise au RGPD : une étape obligatoire
5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

Conformité avec le RGPD : 4 actions à mettre en place !
3 min
Conformité avec le RGPD : 4 actions à mettre en place !

On vous liste les 4 actions que vous devriez mettre en place pour être en conformité avec le RGPD et éviter d'éventuelles sanctions de la CNIL !

RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?

L'entrée en vigueur d'un nouveau texte sur la protection des données personnelles n'est pas sans conséquences pour les entreprises. Comment bien être en règle ?

RGPD et équipes techniques : comment s'organiser ?
4 min
RGPD et équipes techniques : comment s'organiser ?

L'arrivée prochaine du RGPD force les entreprises et leurs équipes techniques à s'organiser et prendre les mesures adéquates pour se mettre en conformité

Portabilité des données : que va permettre le RGPD ?
2 min
Portabilité des données : que va permettre le RGPD ?

Le RGPD consacre un principe relatif à la portabilité des données offrant la possibilité aux personnes d'obtenir, utiliser et transférer leurs propres données

Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?

Un nouveau texte sur la protection des données personnelles entre prochainement en vigueur. Découvrez ce qu'il comportera pour rester à jour.

RGPD : qui est concerné ?
3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Infographie : les étapes pour être conforme avec le RGPD
3 min
Infographie : les étapes pour être conforme avec le RGPD

Le RGPD entrera en vigueur le 25 mai 2018. Le temps de faire le point sur les objectifs du règlement et les étapes pour y être conforme avec notre infographie

Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
5 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?

Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.

Comment trouver un avocat en RGPD à Paris ?
3 min
Comment trouver un avocat en RGPD à Paris ?

Vous êtes à Paris et souhaitez vous mettre à jour sur les sujets RGPD ? Faites appel à un avocat spécialiste du RGPD ! Celui-ci vous accompagne à tous les stades du processus de mise en conformité.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier