RGPD e-Commerce : le guide pratique, un an après

La Commission nationale de l’informatique et des libertés (CNIL) a profité du premier anniversaire du RGPD pour tirer le bilan de l’année écoulée. Elle constate une forte prise de conscience des enjeux relatifs à la protection des données, que ce soit pour les particuliers, comme pour les professionnels.

Près de 3 Français sur 4 se disent aujourd’hui plus sensibles aux problématiques de protection de leurs données (sondage IFOP, avril 2019). Cette prise de conscience se matérialise plus concrètement par une forte augmentation du nombre de plaintes adressées par les particuliers à la CNIL depuis mai 2018 (11 900 plaintes au total, soit une hausse de 30 %).

Au niveau européen, les indicateurs de prise de conscience sont similaires. Les deux tiers des Européens déclarent avoir déjà entendu parler du RGPD, et, parmi ceux-ci, près de 3 sur 4 disent avoir entendu parler d’au moins un des six droits garantis par le règlement (Eurobaromètre spécial sur la protection des données, Commission européenne, juin 2019). Par ailleurs, plus de 100 000 plaintes ont été déposées par les citoyens européens sur la période.

Si le nombre de plaintes s’envole, le volume de sanctions n’a, lui, pas augmenté, la CNIL considérant cette première année comme une année de transition.

La Commission relève tout de même l’implication des entreprises dans la mise en œuvre du RGPD : au-delà de l’afflux de demandes d’informations qu’elle a enregistré sur la période, elle comptabilise plus de 19 000 délégués à la protection des données ayant été désignés par plus de 53 000 organismes.

Elle a par ailleurs récemment annoncé que la période de tolérance et de souplesse à l’égard des entreprises non conformes touchait à sa fin. Mathias Moulin, Directeur à la Direction en charge de la protection des droits et sanctions de la CNIL déclarait que « désormais, les contrôles seront effectués à plein et, en cas de manquement, nous prendrons des mesures de mises en demeure ou des sanctions, lorsqu'elles s'avèrent nécessaires. »

Le RGPD encadre le traitement et la circulation des données à caractère personnel au sein de l’Union européenne. Il concerne toutes les entreprises - des e-commerçants pure-players aux grands groupes en passant par les TPE/PME - dès lors qu’elles collectent, stockent et/ou utilisent des données personnelles de citoyens européens.

Pour respecter le Règlement Général sur la Protection des Données, les e-commerçants doivent mettre en place 5 actions :

Le rôle du DPO est de s’assurer de la sécurité et du bon traitement des données.

Important : la désignation d'un DPO est obligatoire si votre entreprise emploie plus de 250 salariés ou en cas de traitement sur des données dites « sensibles » (relatives à la santé, par exemple). Elle est facultative pour les petites entreprises.

Les entreprises doivent tenir un registre des traitements qui indique les informations relatives aux données traitées, en précisant le lieu, la manière et les raisons de ces traitements.

C’est ce registre qui permet de prouver la conformité de votre site en cas de contrôle de la CNIL.

Le Règlement européen renforce le droit à l’information des personnes.

Les sites doivent donc préciser toutes les informations relatives au traitement des données :

• leur finalité (par exemple, pour gérer l’achat des consommateurs),
  
• leur fondement juridique (par exemple, l’exécution d’un contrat ou votre intérêt légitime),
  
• leur durée de conservation (par exemple, 5 ans après la fin de la relation contractuelle),
  
• les destinataires éventuels (par exemple, votre logisticien),
• les modalités d’exercice des différents droits (par exemple, via leur espace personnel sur votre site Internet, par un message sur une adresse e-mail dédiée, par un courrier postal à un service identifié).

Il est conseillé d’afficher ces informations sur une page dédiée relative à la Politique de protection de la vie privée ainsi que dans les Conditions Générales de Vente.

Important : nous vous recommandons de faire appel à un juriste spécialisé pour vous assurer de la conformité juridique de votre page de Politique de protection de la vie privée et de vos CGV. Oxatis est partenaire avec le Cabinet HAAS Société d’Avocats, spécialisé en droit des nouvelles technologies.

Le recueil de consentement était déjà obligatoire, le RGPD est venu le renforcer.

Ceci implique d’informer clairement les visiteurs de l’usage que vous faites des données que vous collectez, et de recueillir un consentement explicite pour l’usage annoncé.

Concrètement, au niveau de votre site e-Commerce, plusieurs impacts :

1. Recueil du consentement sur les formulaires

Adaptez l’ensemble de vos formulaires et les étapes de validation de commande en ajoutant, d’une part, un lien vers votre Politique de protection de la vie privée, et d’autre part, une case à cocher pour recueillir le consentement des internautes dans l’utilisation de leurs données personnelles.

2. Confirmation du consentement par e-mail (double opt-in)

Ajouter une demande de consentement supplémentaire dans vos e-mails de confirmation des comptes clients vous assure de conserver la preuve du consentement de vos inscrits et de n’enregistrer dans vos bases de données que des contacts vérifiés.

3. Gestion des cookies

Vos clients doivent être informés et donner leur accord préalable à l’insertion de traceurs (cookies). Affichez pour cela un bandeau d’information sur votre site, et demandez le consentement au moyen d’une action positive.

Pour faciliter votre mise en conformité à l’égard de la gestion des cookies, Oxatis met à la disposition des e-commerçants une App « Notification obligatoire - Cookie ».

Il est bien évidemment primordial de répondre aux demandes d’exercices de droits effectuées par vos clients.

Pour rappel, les droits des personnes renforcés par le Règlement Général sur la Protection des Données sont les suivants :

• Droit d’accès
• Droit de rectification
• Droit à la portabilité (transmission des données à un tiers)
• Droit à la limitation du traitement
• Droit à l’effacement (droit à l’oubli)

Permettez à vos clients d’exercer directement les droits d’accès et de rectification de leurs données depuis leur espace client sur votre site.

Nous vous conseillons en parallèle de créer des formulaires spécifiques pour permettre à vos clients de faire valoir leurs droits à la portabilité, à la limitation du traitement et à l’oubli.

La mise en conformité de votre site e-Commerce avec les obligations du RGPD nécessite une gestion rigoureuse et consciencieuse dans le traitement des données et le respect des droits des internautes.

Mais au-delà de l'important travail de mise en place, le RGPD représente de réelles opportunités pour les e-commerçants :

• Vous renforcez la confiance de vos clients et prospects, en vous positionnant comme une entreprise responsable et transparente.
  
• En rassurant vos visiteurs, vous augmentez indéniablement votre efficacité commerciale et vos ventes : les internautes sont aujourd’hui plus enclins à acheter sur un site qui garantit la sécurité de leurs données.
• Autre effet positif du RGPD, l’optimisation du taux de transformation de vos campagnes marketing : les contacts de votre base de données sont ultra-qualifiés, et vous êtes sûr de vous adresser à la bonne personne, au bon moment, avec les bonnes informations.