Données personnelles, RGPD et ePrivacy pour votre E-Commerce

E-Commerce Nation

06.05.2021


astuces site ecommerce rgpd image loi boite digital eprivacy et données personnelles

ARTICLE | LEGISLATION | RGPD

Depuis son entrée en vigueur le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) est au centre des débats des industries du digital, en plus de la gestion des données personnelles en Europe. Cette réglementation impacte fortement cette gestion, levant de nombreuses interrogations au sein des entreprises, notamment avec l’arrivée imminente du projet européen ePrivacy.

De quoi s’agit-il exactement ? Comment les boutiques sont impactées par ces réglementations ? Quelle est la marge d’action des entreprises avec les données personnelles ? Comment respecter le RGPD ? Dans cet article, nous allons répondre à ces questions, parmi d’autres et vous donner nos conseils.

Que sont le RGPD et le ePrivacy ?

Depuis quelques années, l’UE s’efforce de protéger les consommateurs, internautes et titulaires de droits en mettant en place des règles uniformes au sein du marché unique. 

En France, la protection des données personnelles est encadrée par la loi du 6 janvier 1978 dite « Informatique et libertés ».

La loi du 20 juin 2018 relative à la protection des données personnelles a modifié la loi « Informatique et Libertés » pour l’adapter aux dispositions du Règlement général sur la protection des données (RGPD), applicable partout en Europe depuis le 25 mai 2018.

Ce nouveau cadre juridique renforce les droits de chaque citoyen européen sur la protection de ses données personnelles et responsabilise les acteurs traitant ces données.

Désormais, un nouveau règlement vient se placer au centre des discussions : l’ePrivacy qui formule des règles plus contraignantes en matière de protection des données personnelles pour l’ensemble des Etats membres de l’UE ainsi que des pays commercialisant des produits / services ou s’adressant à des consommateurs provenant de l’UE.

Qu’est ce que le RGPD ?

Le RGPD est une loi européenne qui s’applique à l’identique dans tout l’Union Européenne, elle régit toute collecte et tout traitement de données personnelles provenant de personnes physiques au sein de l’UE. Elle a pour objectif de garantir la protection des données de tous les citoyens de l’UE, et ce, quelque soit la domiciliation des entreprises qui collectent ces données (qu’il s’agisse d’une entreprise Américaine, française ou Japonaise, toutes sont concernées par la RGPD et soumise à ses règles).

La notion de collecte de données s’inscrit dans une perspective très large : collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou l’interconnexion, limitation, effacement ou destruction de données.

Avec le RGPD, votre site web est tenu de permettre aux utilisateurs européens de contrôler l’activation des cookies et des traceurs qui collectent leurs données personnelles. En bref : Le RGPD exige qu’un site web ne recueille les données personnelles des utilisateurs qu’après que ceux-ci aient donné leur consentement explicite aux fins spécifiques de leur utilisation.

Qu’est ce que l’ePrivacy?

Le règlement ePrivacy 2021 (ou règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques) est un projet de règlement provenant du Conseil de l’Union Européenne.

Il a pour projet de réglementer toutes les communications électroniques sur les services et les réseaux accessibles au public provenant de particuliers au sein de l’UE (tels que les messages Facebook, les messages textuels, les emails, les Snapchats et tous les autres services de communications électroniques populaires). Le but étant de renforcer la protection de la vie privée en ligne des citoyens et réglementer en profondeur la protection des données personnelles.

D’une manière générale, le but de ce règlement est donc d’obtenir le consentement des internautes et faire preuve de transparence : ils devront être tenus informés de toute collecte de données et de la finalité de l’utilisation de celle-ci. 

Ainsi, le règlement ePrivacy 2021 sera une lex specialis par rapport à la lex generalis RGPD, spécifiant et précisant les dispositions de la RGPD relatives aux données personnelles dans le secteur des communications électroniques.

4 objectifs principaux :

  1. Protéger les droits et libertés des personnes physiques en ce qui concerne la fourniture et l’utilisation de services de communications électroniques et en particulier le droit au respect de la vie privée et des communications et la protection des personnes physiques à l’égard du traitement des données personnelles
  1. Protéger les droits et libertés des personnes morales en ce qui concerne la fourniture et l’utilisation de services de communications électroniques, en particulier le droit au respect des communications 
  1. Garantir la libre circulation des données de communications électroniques et des services de communications électroniques au sein de l’Union européenne, lorsqu’elle n’est ni limitée ni interdite pour des motifs liés au respect de la vie privée et des communications des personnes physiques et morales et à la protection des personnes physiques à l’égard du traitement des données personnelles et la protection des communications des personnes morales
  1. Préciser et compléter le règlement général sur la protection des données ou RGPD. Le règlement « e-privacy » constitue une lex specialis par rapport au RGPD.

Quelles sont les conséquences de l’ePrivacy ?

Si ce projet de règlement ePrivacy est adopté, il tiendra compte également des cookies et des traceurs utilisés sur les sites web qui seront alors couverts par la législation et, comme le prévoit déjà le règlement, ils doivent être expressément autorisés par les utilisateurs pour être activés sur votre site web.

Ainsi, le règlement ePrivacy (ePR) affecte la manière dont un propriétaire de site web peut utiliser les cookies et le suivi en ligne des visiteurs de l’UE. En effet, le changement principal que va apporter l’ePrivacy se situe dans le rejet des cookies non nécessaires qui devrait être plus facile pour les internautes et visiteurs du site et peut être maîtrisé, par exemple via les paramètres du navigateur.

En bref, les opérateurs de sites web ne devraient être autorisés à placer des cookies que si les utilisateurs les acceptent expressément. Si l’utilisateur refuse, le contenu du site Internet devrait tout de même s’afficher. Ainsi, au lieu d’opter pour l’opt-out qui est aujourd’hui toléré, un opt-in serait donc nécessaire et obligatoire.

D’autre part, cela va affecter aussi le transfert des données par lesquelles les utilisateurs sont directement impliqués : Ainsi, cela pourrait affecter, par exemple, les données GPS des smartphones rendant les stratégies de géolocalisation marketing inutilisables.

Le télémarketing est d’ailleurs fortement endommagé par les discussions autour de ce règlement puisque la proposition est que les appels téléphoniques à des fins publicitaires ne soient autorisés que si l’appelant divulgue son numéro de téléphone ou utilise un code obligatoire pour indiquer qu’il s’agit bien d’un appel publicitaire.

De plus, ce règlement ne vise pas seulement à limiter l’action des entreprises sur l’utilisation des données à caractère personnel mais aussi l’action de l’Etat qui devrait être fortement réglementée puisque le chiffrement de bout en bout pourrait devenir obligatoire. Si cette disposition est mise en place, alors toute transmission de données devra être totalement cryptée et ne pourra pas être consultée par les gouvernements. 

Par ailleurs, l’intérêt du projet est de restaurer la confiance des personnes envers les canaux de communication numérique.

Quand le règlement ePrivacy sera-t-il en vigueur ? 

Ce projet de règlement n’est pas encore en vigueur, il est en discussion depuis avril 2016 et a été finalisé le 10 février 2021 par le Conseil de l’UE. Il fait actuellement l’objet de négociations dans le cadre d’un trilogue entre le Conseil de l’UE, le Parlement européen et la Commission européenne. 

Si les 3 institutions parviennent à un accord, alors cela pourrait aboutir à l’adoption du projet de loi dans les 27 Etats Membres de l’UE, ou à son échec et à la nécessité de le rédiger à nouveau. Par ailleurs, les négociations du trilogue peuvent prendre des formes très différentes, certains pays de l’UE demandant des dispositions plus strictes en matière de protection des données que celles contenues dans le projet actuel.

Il est difficile d’estimer une date d’entrée en vigueur du règlement ePrivacy puisque celui ci est encore en négociation ; en revanche, on sait que le projet de texte indique que le règlement ePrivacy prendra effet vingt jours après sa publication au Journal officiel de l’UE et commencera à s’appliquer deux ans plus tard. 

Quelles sont les réactions et critiques face à l’ePrivacy ?

Puisque ce règlement affecte principalement les opérateurs de service et l’industrie du marketing en ligne, ce sont ces deux domaines qui amènent le plus de réactions en critiquant le projet de l’UE sur 3 grands points :

  • Confusions entre RGPD et ePrivacy : En effet selon les acteurs des opérations de services et du marketing en ligne, il existe des contradictions entre les deux dispositions créant alors une insécurité juridique due au manque de clarté des informations et règles mises en place. 
  • Le déclin du marché des médias en ligne : Puisque la plupart des médias en ligne sont financés par la publicité, cela mettrait ces acteurs en péril. En effet, si l’ePrivacy devrait sous sa forme actuelle entrer en vigueur, une telle publicité ne serait possible qu’avec un consentement explicite ; il est alors fort à parier que la plupart des utilisateurs déclineraient ce consentement. D’autre part, cela signifierait la fin de l’accès gratuit à l’information en ligne. 
  • La perte de temps, la confusion pour les internautes : L’excuse selon laquelle les internautes seraient dépassés par le nombre d’approbations qu’exige l’ePrivacy. 

Quelles sont les données personnelles ?

D’après le site de la CNIL, “Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.”

Une personne physique peut être identifiée :

  • directement (exemple : nom et prénom) ;
  • indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : nom) ;
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association) :

Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « [email protected] ») ne sont pas, en principe, des données personnelles.

Les cookies permettent entre autres, aussi, de récolter des informations plus propres à votre attitude et comportements d’achats tels que ; votre localisation, le terminal que vous utilisez, les publicités sur lesquelles vous avez cliqué, etc. Ce sont des traces numériques que les utilisateurs laissent derrière eux après leur navigation et que les sites Web peuvent -pour le moment- légalement utiliser pour suivre les activités de leurs internautes et les identifier.

Comment gérer les données personnelles de vos visiteurs ?

Pour conclure cet article, on va s’intéresser à comment vous devez gérer les données personnelles de vos visiteurs.

L’intérêt pour les sites webs de récolter des informations personnelles sur les internautes est avant tout de pouvoir leur afficher des publicités ciblées selon leurs envies (ils vont alors pouvoir réaliser des bénéfices en vendant des encarts publicitaires), mais aussi améliorer leur expériences utilisateur en ayant des contenus destinés à plaires à leurs utilisateurs. Ce sont leurs “préférences”. 

D’autre part, vous avez aussi la possibilité de vendre les informations récoltées sur vos utilisateurs ; ces données seront alors utilisées pour améliorer les produits et services ou afficher des publicités pertinentes.

Mais avant de pouvoir collecter ces données de manière légale, vous devez vous soumettre aux règles de la RGPD et de l’ePrivacy.

Comment rendre son e-commerce conforme RGPD ?

1 – Demander l’accord des visiteurs de votre site e-commerce

Avec le RGPD, terminé la pratique de la case à cocher obligatoire pour entrer sur un site de e commerce ou pire encore la pratique de la case pré cochée.

Votre visiteur doit maintenant exprimer son consentement de manière claire. Le consentement éclairé est définit comme un acte qui exprime de façon libre, spécifique, éclairée et univoque l’accord d’une personne.

Pour les sites e-commerce il est essentiel de dissocier les données indispensables au fonctionnement du service de l’ensemble des autres données qui doivent respecter cette logique du consentement éclairé.

Le bon usage est donc d’indiquer au visiteur que vous allez collecter des données ( y compris en ce qui concerne les cookies) et leur demander leur consentement par un oui ou par un non.

RGPD va d’ailleurs plus loin et instaure ou renforce les droits de vos visiteurs :

Droit de rectification sur les données collectées

Les utilisateurs ont désormais le droit de rectifier leur données personnelles, et ce à tout moment et sur simple demande.

Droit à l’oubli

Les données ne peuvent être conservées que pour une durée définie, cohérente avec votre activité commerciale.

Droit au refus du profilage

RGPD instaure le droit de s’opposer au profilage à des fins de prospection.

Seules exceptions

  • Lorsque ce profilage :
    • est indispensable dans le cadre d’un contrat entre la personne concernée et votre entreprise,
    • est autorisé par le droit de l’UE ou d’un État membre,
    • est fondé sur le consentement explicite de l’individu.

2 – Faire l’état des lieux des données collectées

Pour toutes ces raisons, la période n’est plus à la collecte d’un maximum de données. Commencez par faire un état des lieux des données récoltées dans votre entreprise :

  • quelles sont les données récoltées
  • quelle est la finalité de cette collecte
  • quelles sont les modalités de conservation
  • qui a accès aux données ( surtout pour les données dites sensibles)
    comment est il possible de les modifier

Faites pour cela le recensement de tous les points de collecte afin d’identifier le périmètre des données collectées : formulaires, contrats, fiches de renseignement, factures, fiches de paie, etc.

Pour les entreprises de plus de 250 salariés cet état des lieux doit être formalisé par un document « registre de traitement des données « régulièrement mis à jour

  • l’ensemble des données,
  • la manière de les collecter,
  • les modes de traitement et la finalité,
  • qui a accès aux données,
  • leur durée de conservation par l’entreprise.

Même si votre entreprise est plus petite, mettez en place ce registre de collecte de données. Vous disposerez d’un référentiel lié à tout ce travail d’identification des données collectées, très utile en cas de contrôle. Et surtout vous serez en bonne voie pour rendre votre e-commerce conforme RGPD !

3 – Toutes les données que vous collectez sont elles nécessaires ?

Les données en votre possession sont elles indispensables à votre business. Pour rappel, avec la RGPD vous devez pouvoir justifier de la finalité d’utilisation d’une donnée et vous savez maintenant que vos visiteurs peuvent s’opposer à leur collecte et/ou à leur utilisation.

En France, c’est la CNIL qui sera chargée des contrôles et qui vous questionnera sur l’utilité des données collectées.

Dans une activité de e commerce cet arbitrage est à l’évidence une réelle difficulté car les données servent autant à faire de l’analyse de comportement qu’à mieux connaître les visiteurs pour leur proposer des services adapté. Mais en faisant ce travail vous serez en capacité de démontrer la pertinence de votre action.

4 – RGPD vous engage même pour vos sous traitants

RGPD, introduit un principe tout simple. Que la donnée soit collectée directement par votre entreprise ou par un de vos sous traitants, vous êtes responsable. Inutile donc d’espérer un transfert ou une dilution de responsabilité.

Vous devez donc vous assurer que d’avoir votre e-commerce conforme RGPD et que les données que sont collectées ou transmises à vos sous traitants sont ensuite traitées dans le respect des règles de RGPD. N’hésitez pas à leur demander des preuves ou à inclure des clauses dans le contrat pour vous en assurer.

Ceci est d’autant plus essentiel que RGPD précise que les données collectées doivent être stockées dans un des pays de l’Union Européenne. Il vous appartient donc de savoir ou sont stockées vos données qu’elles soient collectées par vous même ou un de vos sous traitants.

De part votre activité vous êtes forcément concerné. Faites un point précis auprès de vos sous traitants en particulier pour ce qui concerne :

  • l’hébergement de votre site,
  • la gestion de vos emails,
  • la gestion de vos données de facturation

Vos prestataires ne peuvent vous garantir qu’ils hébergent vos données sur le territoire de l’UE : quittez les et prenez une solution européenne car en cas d’infraction constatée les amendes peuvent être très importantes ( jusqu’à 20 millions ou 4% du chiffre d’affaires annuel).

5 – Mettez à jour vos documents contractuels

Conditions Générales de Vente, mentions légales, politique de confidentialité, etc. sont impactées par le RGPD en particulier pour tout ce qui concerne l’explication sur la finalité de la collecte, votre politique de cookies, les informations indispensables pour permettre à vos prospects, clients, salariés de faire valoir leurs droits.

De même doit être précisé l’adresse de votre hébergeur ( dans l’UE obligatoirement) et dans certains cas le nom du représentant RGPD de votre entreprise ( le DPO : Data Privacy Officer ou délégué à la protection des données)

Utilisez un générateur de mentions légales et personnalisez les articles en fonction de votre business. Si besoin n’hésitez pas à demander l’avis d’un avocat. C’est un élément central pour rendre votre e-commerce conforme RGPD.

6 – Renforcez la sécurité de vos données

Le protocole HTTPS est déjà une norme pour les sites de E commerce. Il est maintenant préférable de mettre en place une procédure de gestion des risques de violation de données dans votre entreprise.

Gestion des habilitations, engagement de confidentialité dans les contrats de travail, utilisation d’outil de cryptage des mots de passe sont autant de manière d’apporter la meilleure sécurité à vos visiteurs.

Si malgré tout, vous êtes victime d’un piratage, vous êtes tenu d’avertir, dans un délai maximum de 72 heures, vos clients et la CNIL.

7 – Adaptez vos processus internes

Modification des processus de collecte des données, Registre de traitement des données, analyse du respect par les sous traitants de RGPD, mise en place de processus pour assurer le respect des droits accordés à vos clients, prospects et partenaires, information des équipes, processus d’alerte en cas de piratage.

Tous ces aspects sont directement liés à la loi et imposent certaines modifications pour rendre votre e-commerce conforme RGPD :

  • adapter vos processus internes,
  • rédiger des procédures afin de sécuriser les traitements

C’est ici qu’il peut être opportun de nommer dans votre entreprise un responsable RGPD. Le règlement européen a prévu cette nécessité et c’est tout l’objet de la mission du DPO (obligatoire dans les grandes entreprises).

8 – Faites de RGPD une opportunité commerciale

Le RGPD impose aux entreprises la transparence vis à vis de l’utilisation des données personnelles.

Au delà de la stricte mise en conformité juridique, RGPD est un levier pour modifier votre politique de relation clients.

Vis à vis de vos concurrents implantés en dehors de la zone de l’UE, RGPD est aussi un avantage concurrentiel car de plus en plus vos consommateurs vont devenir exigeants en ce qui concerne leur vie privée et donc la maîtrise de leurs données personnelles.

RGPD marque une étape essentielle en particulier pour les sites de e-commerce car il impose un marketing plus respectueux des consommateurs.

Imposé à l’échelle européenne il détermine des règles strictes mais pour la plupart de bon sens. Rendre votre site e-commerce conforme RGPD ne se discute pas et il vous appartient de transformer cette contrainte en réelle opportunité.

Pour aller plus loin n’hésitez pas à regarder cette infographie d’Orson.io :

astuces site ecommerce rgpd image infographie rgpd ecommerce données personnelles et eprivacy

Comment rendre son e-commerce conforme à l’ePrivacy ?

Les professionnels du secteur sont rapidement dépassés par toutes les règles en vigueur et sur comment rendre leur E-Commerce à la fois conforme aux RGPD et maintenant à l’ePrivacy. On a donc résumé les points essentiels à appliquer issues des nouvelles obligations de la directive ePrivacy :

  • Le consentement spécifique des internautes : L’utilisateur doit avoir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité ou critère ; et non seulement de manière globale.
  • Un consentement univoque : Cela signifie que l’utilisateur doit pouvoir manifester son consentement par un acte positif et clair : en bref le consommateur doit avoir conscience de l’objectif et la portée de l’acte qui lui permet de signifier son accord ou désaccord.
  • Leur consentement doit être libre : Il doit être en capacité d’accepter ou de refuser l’exploitation de ses données personnelles sans subir de préjudice s’il refuse (ne peut accéder à une page web par exemple).
  • Obtenir un consentement éclairé des internautes : Les utilisateurs doivent être alertés de l’utilisation finale des données récoltées afin de consentir où non à leur utilisation. Ils doivent aussi connaître l’ensemble des responsables de traitements des données et être pleinement conscients  de la portée effective de leurs consentements.
  • La simplicité pour donner ou retirer son consentement : Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment.
  • Donner la preuve du consentement : Les responsables de traitement doivent démontrer que l’utilisateur a donné son consentement de manière valable (en respectant les points cités ci-dessus)

Crédit image : Laura Gassin

E-Commerce Nation
E-Commerce Nation est le 1er Web Media E-Commerce en France et un centre de formation e-commerce.
communauté slack - blanc
Rejoignez
la communauté

Échanger à tout moment
avec la communauté de +1200 explorateurs, 
16 experts et 25 ambassadeurs.

picto newsletter-blanc
Recevez
la newsletter

Recevez chaque semaine,
les astuces du e-commerce.