Ressources et Formations

RGPD et ecommerce : Guide pour être en conformité avec la protection des données

RGPD et ecommerce : Guide pour être en conformité avec la protection des données

Peu importe le secteur dans lequel vous évoluez, en tant qu’e-commerçant vous avez obligatoirement entendu parler du RGPD. Quel que soit votre pays d’implantation, votre niche, si vous traitez des données personnelles sur le territoire de l’Union Européenne ou si vous ciblez directement des résidents européens, vous devez appliquer le RGPD.

Le RGPD, qu’est-ce que c’est ?

Que signifie cet acronyme barbare qui semble venu tout droit des abysses d’internet, me direz-vous.

Le règlement Général sur la Protection des Données (ou RGPD pour les intimes) encadre le traitement des données personnelles dans l’Union Européenne.

LE RGPD (GDPR en anglais) a également pour rôle d’harmoniser l’usage des données, toujours dans le but d’offrir un cadre juridique clair pour l’intégralité du territoire de l’Union Européenne.

En France, c’est la CNIL qui a pour mission de réguler ces données. La Commission Nationale de l’Internet et des Libertés accompagne, renseigne et informe les professionnels dans leur gestion et leur récolte de données personnelles.

Qu’est-ce qu’une donnée personnelle ?

Pour mieux comprendre l’utilité d’une telle loi, reprenons depuis le début et définissons ensemble la notion de “donnée personnelle”.

Une donnée personnelle est définie par la CNIL comme étant une information se rapportant à une personne physique. Je sais ce que vous vous dîtes : “cette définition est trèèès large”. Eh bien, laissez-moi vous dire que vous avez raison !

Ce qui fait la valeur des données personnelles, c’est la façon dont celles ci sont traitées. Qu’elles soient analysées de façon individuelle ou bien croisées pour en dégager, par exemple, un profil type, les données prennent du sens après traitement.

Le traitement des données

Le traitement des données, justement, doit servir un objectif précis.

Vous ne pouvez pas collecter des données personnelles en ayant pour unique but de constituer une base de données.

Ces données doivent servir un dessein particulier. Par exemple, si vous avez une boutique de prêt-à-porter, vous choisissez de collecter les données concernant le sexe de vos visiteurs, cela peut vous servir à envoyer une newsletter se rapportant aux nouvelles collections Femme ou Homme.

Vous vous demandez certainement si votre fichier client papier est également concerné par le RGPD. Et bien oui ! Même si le traitement des données n’est pas informatisé, il est possible de conserver des données dans un fichier papier.

Au même titre qu’un fichier informatisé, celui-ci devra, bien entendu, être protégé.

Quelles obligations en tant que vendeur ?

En tant qu’e-commerçant, la loi vous contraint à prendre quelques dispositions pour vous assurer de la sécurisation de votre fichier.

L’article 5 du RGPD vous donne d’ailleurs les 3 pistes indispensables à la constitution de ce dernier :

Sécuriser les données

Vous êtes donc tenu d’assurer l’intégrité et la protection des données personnelles que vous collectez tout en minimisant les risques de perte en cas de piratage.

Évidemment, l’ampleur des mesures de sécurité dépend du degré de sensibilité des données concernées (Nom, prénom, âge, coordonnées bancaires…).

Alors, sécuriser, s’engager, oui très bien, mais par où commencer ?

Reprenons, simplement, les bases du numérique pour vous aider à faire un état des lieux de votre situation :

  • Mettez à jour votre antivirus
  • Mettez à jour vos logiciels
  • Changez régulièrement de mot de passe
  • Chiffrez les données que vous collectez

Cela peut paraître bête mais les fuites de données commencent généralement par les portes d’entrée les plus simples et les plus basiques car justement, ce sont celles que l’on oublie trop souvent.

Registre, accès et délais de conservation des données

Tout d’abord, sachez que le seul responsable “légal” du regitre des données de la société, est, obligatoirement, le dirigeant de cette même entreprise.

Toujours dans un objectif d’optimisation de la sécurité de votre fichier, il est nécessaire de déterminer les services et membres de votre société susceptibles d’y avoir accès.

Cet accès privilégié aux données doit être clairement défini et répertorié, dans un souci de transparence et de traçabilité des consultations et utilisations de chacune des données.

Il doit donner une vision d’ensemble du traitement des données personnelles collectées au sein de l’entreprise et doit obligatoirement contenir :

  • Votre objectif de collecte (fidélisation client, relance paniers ….)
  • Les catégories de données (par exemple, pour une fidélisation client : Nom, prénom, sexe et date de naissance)

La CNIL fournit un exemple de registre afin de vous aider à constituer celui de votre société.

Cet exemplaire n’est, bien entendu, qu’un modèle de référence que vous pouvez personnaliser, améliorer et compléter au gré des campagnes que vous menez et à mesure que votre base de données s’étoffe.

Tout comme les factures et les déclarations d’impôts, il existe un délai de conservation des données.

Celui-ci doit être défini également par le responsable du registre mais aussi et surtout, par la nature des données en votre possession.

Prenons l’exemple d’un achat sur votre boutique, il va de soi que vous ne pouvez conserver les coordonnées bancaires du client que pendant la phase de paiement.

Que faire en cas de violation des données ?

Le risque zéro n’existe pas lorsqu’il s’agit d’informatique.

Il se peut que votre boutique soit la cible d’un acte malveillant ou bien d’une altération involontaire des données. Vous devez impérativement signaler toute compromission de votre fichier à la CNIL.

Ce signalement s’effectue en ligne sur le site internet de la CNIL directement.

En cas d’incident majeur, vous devrez également informer les personnes concernées afin que celles-ci puissent prendre leurs dispositions.

Comment savoir si je suis en règle ? Comment me mettre à niveau ?

Comment savoir si votre boutique est en règle, ou bien si elle nécessite une mise à niveau ?

Pas de panique, la CNIL met à disposition, un MOOC, (comprenez une formation à distance, pour les professionnels).

Cette formation, intitulée très simplement “l’atelier RGPD”, est élaborée par les juristes de la CNIL. Elle est totalement gratuite.

Vous y trouverez 4 modules de référence pour vous guider dans vos démarches :

  • le RGPD et ses notions clés
  • les principes de la protection des données
  • les responsabilités des acteurs
  • le DPO et les outils de conformité

À l’issu du MOOC, les participants se verront remettre une attestation de suivi, et avouons-le, c’est tout de même très sympa.

Quelles sanctions si je ne suis pas en règle ?

Maintenant que vous savez comment vous conformer au Règlement général sur la protection des données, il fallait bien évoquer les sanctions encourues en cas de manquement en cas de non respect du RGPD.

Les voici donc :

  • Un rappel à l’ordre
  • Limiter temporairement ou définitivement un traitement de données
  • Suspendre les flux de données
  • Une amende administrative pouvant aller jusqu’à 20 millions d’euros
  • Une amende administrative pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial de la société

Ça coupe l’envie de jouer au plus malin n’est-ce pas ?

Construire une campagne emailing conforme

Une fois que vous avez la certitude d’être en conformité avec la loi et que les données que vous récoltez sont sécurisées, il est temps d’envisager de les exploiter, notamment à des fins marketing.

Pas la peine de trembler, vous avez fait le plus gros du travail !

Dans cette dernière phase avant le lancement de votre campagne d’emailing, il sera question, surtout, de consentement et d’expression claire de vos objectifs.

Obtenir le consentement

Peu importe le format que vous avez choisi pour récolter les données (formulaire, questionnaire…), le consentement doit être systématiquement demandé.

Le consentement doit, aussi, être libre. Comprenez qu’aucun acte contraignant ne doit encourager le consentement. On vous avait prévenu, le chantage n’aura pas d’impact.

Le consentement doit aussi correspondre à une seule finalité, précise. Si le traitement des données collectées comporte plusieurs objectifs, les personnes concernées doivent pouvoir donner leur consentement indépendamment, pour chaque objectif et chaque traitement différent de la donnée.

En bref, le consentement doit être :

  • Eclairé : c’est à dire accompagné d’un certain nombre d’informations communiquées à la personne consentante. Autrement dit, le consentement doit être clair.
  • Univoque : comprenez que le consentement doit être donné par une déclaration ou tout autre acte positif clair (une case à cocher peut faire l’affaire). Exit l’ambiguïté.
  • Explicite : la personne doit pouvoir donner expressément son consentement, tout simplement.

Le droit des personnes

Gardez à l’esprit que ce n’est pas parce que vous avez collecté une donnée qu’elle vous appartient. Vous en êtes responsable, vous assurez sa sécurité.

Toutefois la personne ayant fourni cette donnée reste l’unique propriétaire de celle-ci.

Chaque personne détient donc les droits d’exploitation de ses propres données, bien qu’elles aient consenti à confier ce droit.

Plus simplement, il existe deux notions pour garantir le droit des personnes :

  • Le droit au retrait : À n’importe quel instant, la personne concernée doit pouvoir retirer son consentement, modifier ou rectifier les données le concernant
  • La preuve du consentement : vous devez être en mesure, à n’importe quel moment, de prouver que chacun des propriétaires des données collectées vous a donné son consentement

En route pour une campagne 100% RGPD

Nous avions déjà rédigé un tutoriel destiné à vous rappeler que la solution e-commerce SaaS WiziShop, de son côté, a mis en place une politique RGPD conforme afin de vous offrir un maximum de confort.

En effet :

  • Vous êtes en mesure d’exporter les données personnelles collectées via votre boutique en ligne à but consultatif et sur simple demande de votre client.
  • Il est possible de supprimer l’ensemble des données personnelles d’un client d’un simple clic, à sa demande.

Vous avez désormais toutes les clés en main pour réaliser une campagne emailing 100% RGPD sans risquer la moindre sanction.

Allez, appuyez sur Entrée et lancez votre campagne !

Merci de remplir tous les champs et de valider le captcha pour envoyer un commentaire.
Votre commentaire a été enregistré avec succés. Merci !
Chargement

Les articles populaires

Ressources et Formations

E-commerce : Les 20 avantages et inconvénients du commerce en ligne en 2020

Ressources et Formations

10 Produits DIY à fabriquer et créer vous-même à la main pour vendre sur internet

Ressources et Formations

Formation e-commerce : Comment se former gratuitement à la vente en ligne ?

Ressources et Formations

Pourquoi les plateformes e-commerce Open Source ne sont pas faites pour vous ⛔️

Créons ensemble votre boutique en ligne WiziShop

Quel est votre prénom ?

Enchanté ...

Quel est votre nom ?

Retour

Comment souhaitez-vous
nommer votre boutique ?

Retour

..., merci de définir
votre mot de passe

Le mot de passe doit contenir 6 caractères minimum.

Retour

..., dîtes-moi tout.
Quelle est votre couleur préférée ?

Retour

, quels types de produits allez-vous vendre ?

Retour