RGPD : Le Règlement Général sur la Protection des Données entré en vigueur le 25 mai 2018 est une des principales interrogations des entreprises en Europe. De quoi s’agit il exactement et en quoi le fait de rendre votre e-commerce conforme RGPD a-t-il des répercussions sur votre activité commerciale ?

RGPD, de quoi s’agit-il ?

Le RGPD est entrée en vigueur le 25 Mai 2018. S’agissant d’un règlement il s’applique à l’identique dans tous les pays de l’Union Européenne. Ce règlement a pour objectif de garantir la protection des données de tous les citoyens de l’UE ce quelque soit la domiciliation des entreprises qui collectent.

Concrètement une entreprise américaine qui propose ses services sur le territoire de l’UE est concernée au même titre qu’une entreprise française, allemande ou grecque.

La notion de collecte de données s’inscrit dans une perspective très large : collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou l’interconnexion, limitation, effacement ou destruction de données.

Il est donc essentiel de connaître les critères qui rendront votre e-commerce conforme RGPD.

Comment rendre son e-commerce conforme RGPD ?

1 – Demander l’accord des visiteurs de votre site e-commerce

Avec le RGPD, terminé la pratique de la case à cocher obligatoire pour entrer sur un site de e commerce ou pire encore la pratique de la case pré cochée.

Votre visiteur doit maintenant exprimer son consentement de manière claire. Le consentement éclairé est définit comme un acte qui exprime de façon libre, spécifique, éclairée et univoque l’accord d’une personne.

Pour les sites e-commerce il est essentiel de dissocier les données indispensables au fonctionnement du service de l’ensemble des autres données qui doivent respecter cette logique du consentement éclairé.
Le bon usage est donc d’indiquer au visiteur que vous allez collecter des données ( y compris en ce qui concerne les cookies) et leur demander leur consentement par un oui ou par un non.
RGPD va d’ailleurs plus loin et instaure ou renforce les droits de vos visiteurs :

Droit de rectification sur les données collectées

Les utilisateurs ont désormais le droit de rectifier leur données personnelles, et ce à tout moment et sur simple demande.

Droit à l’oubli

Les données ne peuvent être conservées que pour une durée définie, cohérente avec votre activité commerciale.

Droit au refus du profilage

RGPD instaure le droit de s’opposer au profilage à des fins de prospection.

Seules exceptions

  • Lorsque ce profilage :
    • est indispensable dans le cadre d’un contrat entre la personne concernée et votre entreprise,
    • est autorisé par le droit de l’UE ou d’un État membre,
    • est fondé sur le consentement explicite de l’individu.

2 – Faire l’état des lieux des données collectées

Pour toutes ces raisons, la période n’est plus à la collecte d’un maximum de données. Commencez par faire un état des lieux des données récoltées dans votre entreprise :

  • quelles sont les données récoltées
  • quelle est la finalité de cette collecte
  • quelles sont les modalités de conservation
  • qui a accès aux données ( surtout pour les données dites sensibles)
    comment est il possible de les modifier

Faites pour cela le recensement de tous les points de collecte afin d’identifier le périmètre des données collectées : formulaires, contrats, fiches de renseignement, factures, fiches de paie, …
Pour les entreprises de plus de 250 salariés cet état des lieux doit être formalisé par un document « registre de traitement des données « régulièrement mis à jour

  • l’ensemble des données,
  • la manière de les collecter,
  • les modes de traitement et la finalité,
  • qui a accès aux données,
  • leur durée de conservation par l’entreprise.

Même si votre entreprise est plus petite, mettez en place ce registre de collecte de données. Vous disposerez d’un référentiel lié à tout ce travail d’identification des données collectées, très utile en cas de contrôle. Et surtout vous serez en bonne voie pour rendre votre e-commerce conforme RGPD !

3 – Toutes les données que vous collectez sont elles nécessaires ?

Les données en votre possession sont elles indispensables à votre business. Pour rappel, avec la RGPD vous devez pouvoir justifier de la finalité d’utilisation d’une donnée et vous savez maintenant que vos visiteurs peuvent s’opposer à leur collecte et/ou à leur utilisation.
En France, c’est la CNIL qui sera chargée des contrôles et qui vous questionnera sur l’utilité des données collectées.
Dans une activité de e commerce cet arbitrage est à l’évidence une réelle difficulté car les données servent autant à faire de l’analyse de comportement qu’à mieux connaître les visiteurs pour leur proposer des services adapté. Mais en faisant ce travail vous serez en capacité de démontrer la pertinence de votre action.

4 – RGPD vous engage même pour vos sous traitants

RGPD, introduit un principe tout simple. Que la donnée soit collectée directement par votre entreprise ou par un de vos sous traitants, vous êtes responsable. Inutile donc d’espérer un transfert ou une dilution de responsabilité.

Vous devez donc vous assurer que d’avoir votre e-commerce conforme RGPD et que les données que sont collectées ou transmises à vos sous traitants sont ensuite traitées dans le respect des règles de RGPD. N’hésitez pas à leur demander des preuves ou à inclure des clauses dans le contrat pour vous en assurer.

Ceci est d’autant plus essentiel que RGPD précise que les données collectées doivent être stockées dans un des pays de l’Union Européenne. Il vous appartient donc de savoir ou sont stockées vos données qu’elles soient collectées par vous même ou un de vos sous traitants.

De part votre activité vous êtes forcément concerné. Faites un point précis auprès de vos sous traitants en particulier pour ce qui concerne :

  • l’hébergement de votre site,
  • la gestion de vos emails,
  • la gestion de vos données de facturation

Vos prestataires ne peuvent vous garantir qu’ils hébergent vos données sur le territoire de l’UE : quittez les et prenez une solution européenne car en cas d’infraction constatée les amendes peuvent être très importantes ( jusqu’à 20 millions ou 4% du chiffre d’affaires annuel).

5 – Mettez à jour vos documents contractuels

Conditions Générales de Vente, mentions légales, .. sont impactées par le RGPD en particulier pour tout ce qui concerne l’explication sur la finalité de la collecte, votre politique de cookies, les informations indispensables pour permettre à vos prospects, clients, salariés de faire valoir leurs droits.

De même doit être précisé l’adresse de votre hébergeur ( dans l’UE obligatoirement) et dans certains cas le nom du représentant RGPD de votre entreprise ( le DPO : Data Privacy Officer ou délégué à la protection des données)

Utilisez un générateur de mentions légales et personnalisez les articles en fonction de votre business. Si besoin n’hésitez pas à demander l’avis d’un avocat. C’est un élément central pour rendre votre e-commerce conforme RGPD.

6 – Renforcez la sécurité de vos données

Le protocole HTTPS est déjà une norme pour les sites de E commerce. Il est maintenant préférable de mettre en place une procédure de gestion des risques de violation de données dans votre entreprise.
Gestion des habilitations, engagement de confidentialité dans les contrats de travail, utilisation d’outil de cryptage des mots de passe sont autant de manière d’apporter la meilleure sécurité à vos visiteurs.
Si malgré tout, vous êtes victime d’un piratage, vous êtes tenu d’avertir, dans un délai maximum de 72 heures, vos clients et la CNIL.

7 – Adaptez vos processus internes

Modification des processus de collecte des données, Registre de traitement des données, analyse du respect par les sous traitants de RGPD, mise en place de processus pour assurer le respect des droits accordés à vos clients, prospects et partenaires, information des équipes, processus d’alerte en cas de piratage.

Tous ces aspects sont directement liés à la loi et imposent certaines modifications pour rendre votre e-commerce conforme RGPD :

  • adapter vos processus internes,
  • rédiger des procédures afin de sécuriser les traitements

C’est ici qu’il peut être opportun de nommer dans votre entreprise un responsable RGPD. Le règlement européen a prévu cette nécessité et c’est tout l’objet de la mission du DPO (obligatoire dans les grandes entreprises).

8 – Faites de RGPD une opportunité commerciale

Le RGPD impose aux entreprises la transparence vis à vis de l’utilisation des données personnelles.
Au delà de la stricte mise en conformité juridique, RGPD est un levier pour modifier votre politique de relation clients.

Vis à vis de vos concurrents implantés en dehors de la zone de l’UE, RGPD est aussi un avantage concurrentiel car de plus en plus vos consommateurs vont devenir exigeants en ce qui concerne leur vie privée et donc la maîtrise de leurs données personnelles.

 

RGPD marque une étape essentielle en particulier pour les sites de e-commerce car il impose un marketing plus respectueux des consommateurs.

Imposé à l’échelle européenne il détermine des règles strictes mais pour la plupart de bon sens. Rendre votre site e-commerce conforme RGPD ne se discute pas et il vous appartient de transformer cette contrainte en réelle opportunité.

Pour aller plus loin n’hésitez pas à regarder cette infographie d’Orson.io :

8 astuces pour rendre votre e-commerce conforme RGPD