Depuis le 25 mai 2018, la nouvelle législation européenne sur la protection des données sera directement applicable dans tous les États membres de l’Union européenne. Ce « Règlement Général sur la Protection des Données » (RGPD) est également connu sous le nom de « General Data Protection Regulation » (GDPR) en anglais. Avec cette réglementation européenne, la législation relative à la protection des données dans pratiquement tous les pays européens est plus ou moins la même. Si vous vendez régulièrement aux consommateurs dans d’autres pays de l’UE, cette loi vous donne également une sécurité juridique.
Qu’est-ce que le la RGPD ? Quelle est la définition ? Et quelles conséquences cette nouvelle législation sur la protection des données a-t-elle pour vous en tant qu’e-commerçants ?
Afin de faire évoluer les entreprises vers une politique de confidentialité transparente et « responsable », les boutiques en ligne doivent tenir compte d’un certain nombre de nouvelles obligations. Dans cet article, nous traiterons les sujets suivants :
- Le RGPD s’applique-t-il aux boutiques en ligne ?
- Quelles informations personnelles peuvent être collectées par des boutiques en ligne ?
- Quelles obligations a une boutique en ligne à l’égard de ses clients ?
- Quelles obligations a une boutique en ligne vis-à-vis de ses fournisseurs ?
- Quelles sont les démarches à suivre pour les boutiques ?
RGPD : Définition et conseils
La transparence et la responsabilité sont les deux mots clés de la nouvelle législation. En tant qu’entreprise, vous êtes obligé d’être transparente concernant les données personnelles que vous collectez et ce que vous en faites. Vous devez également être en mesure de prouver que des mesures de sécurité ont été mises en place de votre côté. Il est vrai qu’une fuite ou une perte de données ne peut jamais être évitée à 100%, la nouvelle législation prend donc ce critère en compte. Cependant, si cela se produit, vous devez être en mesure de démontrer au superviseur national (En France, la CNIL) que votre sécurité et le traitement de vos données sont en ordre.
1. Le RGPD s’applique-t-il aux boutiques en ligne ?
« Traiter les données personnelles des citoyens de l’UE » est la problématique la plus importante pour un e-commerçant à propos de la nouvelle législation. La législation relative à la protection des données ne s’applique qu’aux données personnelles. Ce sont toutes les données qui peuvent être reliées directement ou indirectement à une personne, telles que le nom, l’adresse postale et l’adresse e-mail, mais aussi les adresses IP, les données de localisation ou les coordonnées bancaires. Les données de l’entreprise ne sont pas des données personnelles. Lorsque vous collectez, enregistrez, organisez, stockez, modifiez, récupérez, consultez, utilisez ou supprimez des données, cela est considéré comme du « traitement de données ». L’e-shop classique devra donc se conformer à la nouvelle législation.
2. Quelles données personnelles peuvent être traitées par les boutiques en ligne ?
Il n’y a en principe aucune restriction sur le type ou le nombre de données personnelles que vous pouvez collecter ou traiter. Cependant, vous devez avoir une raison valable pour le traitement de tous types de données personnelles. Il existe quatre bases pour les boutiques en ligne sur lesquelles vous pouvez collecter des données personnelles :
- Traitement des données dans le cadre de la réalisation d’une vente en ligne.
- Traitement des données suite à une obligation légale.
- Traitement des données en raison d’un intérêt légitime.
- Traitement des données suite au consentement du client.
La plupart des données que vous collectez et traitez en tant qu’e-commerçant sont «nécessaires pour votre vente». Après tout, vous avez besoin d’un nom, d’une adresse et de détails de paiement pour pouvoir livrer une commande. Demander un âge peut aussi s’avérer nécessaire. En effet, la vente aux mineurs étant interdite pour certains produits (par exemple, la vente de boissons alcoolisées). Un contrôle d’âge étant dans certains cas une obligation légale.
Un exemple d’un intérêt légitime est le marketing direct. Si vous avez obtenu une adresse e-mail suite à une commande, vous pouvez également utiliser cette adresse e-mail pour informer un client sur d’autres produits. Un client doit pouvoir s’opposer facilement à cette utilisation de son email. Vous ne pouvez utiliser les données collectées que dans un seul et unique but : celui pour lequel ces dernières ont été fournies.
3. Quelles obligations a une boutique en ligne vis-à-vis de ses clients ?
Comme mentionné précédemment, en tant que boutique en ligne, vous devez être transparente envers vos clients sur les données personnelles que vous collectez et pourquoi ces dernières le sont. Le moyen le plus courant d’informer les clients à ce sujet est de mettre en place une politique de confidentialité distincte qui peut être consultée sur votre site web. Dans votre politique de confidentialité, les éléments suivants doivent être mentionnés dans un langage clair (pas de jargon juridique) :
- Quelles données personnelles des clients sont collectées ?
- La raison pour laquelle les données personnelles sont collectées
- Informations sur le mode de visualisation, de correction ou de suppression des données personnelles
- La période de rétention des données
- Catégorie de tiers avec lesquels les données personnelles sont partagées
- Coordonnées de votre boutique en ligne
Correction, suppression et récupération de données
Les clients doivent avoir la possibilité de corriger et de supprimer leurs propres données personnelles. Votre politique de confidentialité doit indiquer clairement comment les clients peuvent le faire. Vous pouvez automatiser cette demande. Cependant, effacer les informations de contact (e-mail) en envoyant une demande à l’entreprise devrait suffire. En outre, les clients doivent également être en mesure de demander leurs données, également connu sous le nom de portabilité des données. Lorsque vous recevez une telle demande, vous devez envoyer les données personnelles dans un format facilement lisible dans un délai d’un mois. Cela peut par exemple être un fichier Excel (.csv).
Période de rétention des données
Le laps de temps pendant lequel vous conservez les données doit également être déterminé pour chaque catégorie de données personnelles. Le RGPD indique seulement que les données peuvent être conservées « aussi longtemps que nécessaire aux fins pour lesquelles elles ont été collectées ». Avec une boutique en ligne, il est relativement facile de conserver les données pendant une longue période. Tant que le client a un compte, les données sont conservées. Si le client supprime son compte, vous devrez effectivement supprimer les données dans un délai raisonnable.
Bien entendu, cela ne s’applique pas aux données que vous devez conserver plus longtemps en raison d’une obligation légale. Pensez par exemple à des factures ou à des données d’employés. Il n’y a pas de période de conservation pour les données client anonymisées. Si vous voulez garder une trace de certaines données clients (l’âge moyen des clients, le prix moyen de publication), vous devrez les anonymiser.
Coordonnées des tiers
En tant que boutique en ligne, vous partagez également des données client avec vos prestataires de services, tel qu’un prestataire de paiement ou un transporteur de colis. Ce transfert de données personnelles est simplement « nécessaire à l’exécution de la vente ». Vous n’avez pas besoin de l’autorisation du client pour cela. Vous devez cependant informer le client que ses données sont partagées avec des tiers. En revanche, il est interdit de transmettre des données personnelles à des tiers sans autorisation explicite si cela n’est pas nécessaire pour l’exécution de la vente. Par exemple, la revente d’adresses électroniques à des tiers à des fins marketing n’est pas autorisée.
Si votre boutique en ligne ou un tiers traite des données personnelles en dehors de l’UE, vous devez également le signaler dans votre politique de confidentialité. Vous devez informer vos clients des garanties prises dans ce cas pour protéger leurs données.
4. Quelles sont les obligations d’une boutique en ligne vis-à-vis des fournisseurs ?
Accord de traitement
Les boutiques en ligne travaillent souvent avec des entreprises externes. Par exemple, votre boutique en ligne peut avoir Sendcloud comme service d’expédition. Vous partagez ensuite vos informations personnelles avec Sendcloud, en tant que tiers. Les accords sur le traitement des données doivent être enregistrés dans un «accord de traitement». En tant que boutique en ligne, vous collectez les données et vous êtes désigné(e) comme « contrôleur de données ». Le tiers reçoit vos données dans un but spécifique et est désigné comme « processeur de données ».
L’accord de traitement donne un aperçu des obligations et des responsabilités des deux parties. L’objectif d’un accord est donc de s’assurer que les processeurs de données prennent également les mesures de sécurité nécessaires. Les éléments suivants doivent dans tous les cas être inclus dans un accord de traitement :
- La durée, la description et les finalités du traitement des données
- Mesures de sécurité et audits
- Assurer la fiabilité du personnel
- Signaler une fuite ou perte de données au contrôleur
- Obligation de coopération et d’information
- Autorisation d’activer des sous-processeurs de données
- Protéger le trafic de données en dehors de l’UE
- Retour ou destruction des données à la fin du service
5. Qu’est-ce que les boutiques en ligne doivent aussi mettre en place ?
En plus des nouvelles obligations envers les clients et les fournisseurs, vous devez également mettre en place ou adapter de nouvelles procédures en interne. Par exemple, avec la nouvelle législation sur la protection des données, des charges administratives sont ajoutées.
Le registre de traitement
Le RGPD oblige les entreprises qui traitent structurellement des données personnelles (telles que les boutiques en ligne) à identifier clairement les flux de données personnelles entrants et sortants. Ces flux doivent être enregistrés dans un registre dit “de traitement”. La rédaction d’un tel registre peut se faire dans un document Excel.
Pour chaque catégorie de données personnelles que vous collectez, les éléments suivants doivent être enregistrés :
- Quel type de données personnelles est collecté ?
- Quel est le but de la collecte de données ?
- Quelles parties internes (employés) ont accès aux données ?
- Quelles parties externes ont accès aux données ?
- Où sont stockées les données ?
- Quelles sont les périodes de stockage (prévues) ?
- Quelles sont les mesures de sécurité ?
Nous conseillons à toutes les entreprises de préparer un registre de traitement. Même si une entreprise n’est pas le contrôleur, mais le processeur de données personnelles.
Fuite de données, procédure et obligation de notification
En plus d’un registre de traitement, les entreprises sont tenues de mettre en place une procédure claire en cas de violation des données. La probabilité qu’une fuite de données se produise est toujours présente. En tant que boutique en ligne, assurez-vous d’avoir un contact fixe et identifié dans votre entreprise.
Si une fuite de données a eu lieu, vous devrez dans certains cas le signaler au régulateur français, la CNIL. Le fait de devoir signaler une violation de données ou non dépend du type de données personnelles qui a été divulgué. Vous êtes tenu de signaler une fuite de données si «l’atteinte implique un risque pour les droits et libertés des personnes». Ce n’est effectivement pas très claire au premier abord. Vous pouvez donc supposer qu’une perte de données personnelles «normales» non cryptées, telles que le nom et l’adresse e-mail, doit obligatoirement être signalée à la CNIL.
La perte de données sensibles doit toujours être signalée à la CNIL et aux personnes concernées. Vous devez ensuite penser à des données sur la santé ou la croyance. Les numéros de compte bancaire sont également des données sensibles. La perte de mots de passe doit également être signalée à la CNIL et aux personnes impliquées car les utilisateurs ont souvent les mêmes mots de passe pour différents comptes. Une fuite de données doit être signalée dans les 72 heures.
« Sensibilisation » aux données personnelles
Le RGPD introduit également deux nouveaux termes, à savoir « Privacy by Design » et « Privacy by Default ». Cette nouvelle législation doit garantir que les entreprises prennent en compte les paramètres de protection des données et de confidentialité dans les processus de développement. Un exemple est le cryptage direct ou la pseudonymisation des données clients. Un autre exemple est la minimisation du traitement des données. En tant que boutique en ligne, demandez-vous de quelles informations clients avez-vous besoin.
Qu’en est-il du DPO (Data Protection Officer) et du PIA (Privacy Impact Assessment) ?
La mise en place d’un « Data Protection Officer » (DPO) et d’un « Privacy Impact Assessment » (PIA) sont deux autres obligations importantes du RGPD. Un DPD, en français également appelé Délégué à la Protection des Données, est une personne indépendante qui a un rôle de contrôle au sein d’une organisation concernant le traitement et la protection des données personnelles. Une EFVP (Evaluation des Facteurs Relatifs à la Vie Privée) ou PIA en anglais, sert à repérer les risques éventuels d’entrave à la vie privée. La boutique en ligne classique n’aura pas besoin de recruter un DPO ou d’effectuer une PIA. Ces obligations sont principalement destinées aux entreprises qui traitent des données personnelles sensibles à grande échelle ou surveillent le comportement des consommateurs à grande échelle (profilage).
Bien débuter avec le RGPD :
Cette législation impose nombreuses obligations aux boutiques en ligne. Cependant, il n’est pas nécessaire d’en avoir peur. Il s’agit principalement d’accroître la transparence et la responsabilité des entreprises. Si certaines mesures ne sont pas bien claires pour vous, n’hésitez pas à demander conseil à un juriste spécialisé.
À propos de notre partenaire néerlandais spécialisé dans le RGPD : deJuristen
Sendcloud est partenaire de deJuristen Amsterdam, une société juridique spécialisée dans le droit des TIC et la propriété intellectuelle à travers l’Europe via sa marque theJurists. En tant qu’e-commerçant, nous pouvons vous aider à vous mettre en conformité avec le RGPD, à rédiger des contrats, à protéger vos droits de propriété intellectuelle ou à vous poser les bonnes questions sur la confidentialité. Nous souhaitons que la loi soit accessible et compréhensible pour tout le monde.
[rating_form id= »5″]