CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
GÉRER MES SALARIÉS
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
DÉLÉGUER MON JURIDIQUE
GUIDES
BLOG
CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
GÉRER MES SALARIÉS
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
DÉLÉGUER MON JURIDIQUE
GUIDES
BLOG
/Am%C3%A9lie%20Gautier.png?width=32&height=32&name=Am%C3%A9lie%20Gautier.png){kind=small}
Le 25 mai 2018, le RGPD (Règlement Général de Protection des Données) est entré en application. Avec ce nouveau règlement, l’Europe a voulu mettre un cadre aux échanges, récupérations, utilisations de données personnelles. Ce règlement s'inscrit dans la continuité de la loi Informatique et Libertés de 1978 en France.
Depuis mai 2018, le RGPD doit être respecté par tous les concernés. Qui sont-ils ? Le RGPD concerne toutes les structures privées ou publiques qui récoltent et traitent des données personnelles notamment les sites de e-commerce.
La Commission nationale de l'informatique et des libertés (CNIL), change au passage de rôle, est devient le gendarme chargé de faire respecter ce règlement, avec potentiellement de lourdes sanctions pour les contrevenants.
Si vous avez un site e-commerce et que vous avez du mal à comprendre concrètement quelles sont les actions à mettre en place dans le cadre du RGPD et en quoi cela change votre activité, voici une liste des choses essentielles à mettre en œuvre.
SOMMAIRE :
Le RGPD expliqué en deux minutes
1 – Lister les données personnelles collectées
Redéfinissons tout d’abord ce que le RGPD entend par données personnelles.
Ce sont toutes les données qui permettent l’identification d’une personne : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
Si on prend au pied de la lettre cette définition, alors même l’adresse IP de vos visiteurs est une donnée personnelle. Quoi qu’il en soit, les prénoms, noms, e-mails, adresses de vos clients, de vos abonnés à une newsletter sont des données personnelles.
Pour respecter le RGPD, vous devez savoir exactement :
- quelles sont les données que vous collectez directement (ou par un autre biais),
- quand et comment vous les récupérez,
- ce que vous en faites (sont-elles traitées ? où sont-elles stockées ?),
- quelles tierces parties (partenaires techniques, marketing, logistiques) y ont accès.
Faites particulièrement attention au dernier point car si les données que vous collectez sont transmises à des partenaires ou sous-traitants, vous devez savoir exactement ce qu’ils en font. Ainsi, les accords que vous avez avec eux doivent être mis à jour avec de nouvelles conditions relatives à ces données transmises. Inversement, si vous êtes le maillon d’une chaîne de traitement de données ou le destinataire de données personnelles, vous devez aussi vérifier quelles sont vos obligations. Par exemple, si vous faites des offres aux clients d’un de vos partenaires, vous devez prendre en compte les obligations du RGPD. Notez d’ailleurs que le RGPD énonce clairement que vous ne devez collecter que les données dont vous avez besoin.
2 – Déterminez les risques qu’encourent les données personnelles dans votre système en tant que E-commerçants
Ce point est un des plus délicats du RGPD pour les e-commerçants. La loi veut en effet que vous soyez en capacité d'identifier les risques auxquels sont soumis les données qui transitent par votre site et votre entreprise.
Hormis les cas usuels de vols de clients/prospects ou de sauvegarde un peu légère de données personnelles sur quelques tableurs éparpillés, plusieurs ordinateurs, voir même dans les mobiles des employés, le principal problème concerne la sécurité des données personnelles chez les sous-traitants. En pratique, un site d’e-commerce « expose » les données personnelles de ses clients ou prospects à de nombreux prestataires techniques et logistiques sur lesquels il n’a aucun contrôle.
En effet, vous ne pouvez pas vraiment savoir à quels risques sont soumis vos données chez l’hébergeur de votre site, et ceci d’autant plus avec la mode actuelle du cloud ou de tous les systèmes de gestion, vérification, stabilisation qui sont à l’œuvre dans les infrastructures d’hébergement. En ce qui concerne la logistique, vous ne savez pas par exemple quels sont les sous-traitants de votre logisticien pour le fameux « dernier kilomètre ». Comment faire aussi avec le prestataire à qui vous confiez la tâche d’envoyer vos mailings ?
Concrètement la seule façon de vous couvrir est de changer les contrats que vous avez avec vos sous-traitants en ajoutant des clauses spécifiques concernant ce point.
Vous n’aurez pas de problème à revoir les contrats car le RGPD responsabilise aussi les sous-traitants qui ont des obligations spécifiques pour aider les responsables de traitements. Ainsi, les contrats avec les sous-traitants doivent mentionner la réalité des dispositions de l’article 28 du RGPD (article spécifique aux sous-traitants) avec notamment :
- l’objet et la durée de la prestation effectuée pour le compte du client,
- le type de données à caractère personnel que vous traitez pour le compte de votre client,
- les catégories de personnes concernées,
- vos obligations et vos droits en tant que responsable de traitement,
- l’engagement du sous-traitant de signaler immédiatement toute fuite de données.
Il est aussi conseillé de mettre par écrit les instructions données au sous-traitant afin de prouver, le cas échéant sa bonne foi. Ceci impose de décrire précisément les traitements qui lui sont demandés.
Par ailleurs, il faut que le sous-traitant indique s'il a lui même fait appel à des sous-traitants ou pas (et dans ce cas, outre le fait de le permettre ou pas, il faut lui demander de garantir qu’il leur a imposé les dispositions du RGPD).
Le sous-traitant doit également garantir que ses outils, applications, services respectent le RGPD notamment en ce qui concerne la quantité de données collectées, l’étendue de leur traitement, la durée de conservation et le nombre de personnes qui y a accès.
Notons aussi que les employés du sous-traitant doivent être soumis à une obligation de confidentialité.
3 – Vérifier que vous assurez bien lA portabilité des données, droit d’accès et de rectification, retrait du consentement
Si vous étiez déjà habitué(e) à demander aux visiteurs et clients de votre site d’accepter les cookies, vous allez facilement comprendre ce point.
Le RGPD donne à toute personne dont vous avez quelques données personnelles les droits suivants :
- Droit d’accès et rectification des informations
- Droit d’obtenir les données dans un format structuré, couramment utilisé et lisible par une machine (droit à la portabilité des données)
- Droit de transférer les données directement auprès d’un nouveau responsable du traitement.
- Droit d’opposition à tout moment, au traitement de ses données y compris pour le profilage
Les internautes doivent être avertis de ces droits « au plus tard au moment de la première communication avec la personne concernée » ce qui veut dire, en théorie, qu’à chaque première récupération de données, vous devez avertir l’internaute de manière claire. Il convient également de lui demander la validation de la prise en compte de ses droits et de l’informer sur la manière dont il peut accéder à ses données pour éventuellement les modifier, en demander la suppression ou leur transmission.
Si on considère que les adresses IP ou que les informations remontées par vos outils statistiques sont des données personnelles, il convient d'informer les droits de l'internaute dès sa première visite sur votre site.
Dans tous les cas, veillez à ce que les formulaires de récupération de données, qu’il s'agisse de formulaire d’abonnement à des newsletters, de formulaire de commande , etc.. soient conformes au RGPD et contiennent donc des passages spécifiques relatifs à ces droits.
En ce qui concerne la logistique à mettre en place pour que les internautes puissent accéder, modifier ou faire supprimer leurs données et les récupérer dans un format exploitable, il vous faudra par exemple construire des interfaces spécifiques et mettre en place un canal de communication dédié à ces demandes pour pouvoir les traiter « à la main » dans un premier temps.
4 - Faire mettre à jour votre politique de confidentialité par un professionnel
Comme nous l’avons vu lors des 3 points précédents, le RGPD est une réforme importante, entrainant de nombreux changement mais encore assez floue quand à ses modes d'applications. Ainsi, l’important est de montrer sa bonne foi et de se garder d’éventuels litiges avec vos clients/internautes mécontents ou de concurrents.
La chose essentielle à mettre en place dès que possible est une refonte de vos conditions générales de vente et de rédiger une politique de confidentialité conforme au RGPD, afin de montrer que vous avez pris en compte les évolutions dues au RGPD.
Sur le fondement de cette loi, la CNIL a déjà prononcé des sanctions, par exemple à l'encontre de société DARTY. En cas de doute, mieux vaut vous faire accompagner par un professionnel afin de bénéficier de sa garantie en cas de contrôle par la CNIL.
