Les propriétaires de boutiques e-commerce ont bien occupés : entre le SEO, les réseaux sociaux et le webdesign, ils n’avaient pas besoin d’une autre activité. Mais le respect du RGPD est venu s’ajouter à la liste.

Cela fait bientôt 2 ans que le RGPD a été mis en œuvre, et il y a certainement encore des leçons à tirer et des mesures à prendre pour renforcer votre conformité au RGPD.

Cet article examine ce que dit le RGPD, ce que la conformité au RGPD signifie pour vous, ce qu’il faut pour être conforme et comment vous pouvez l’utiliser à votre avantage.

Qu’est-ce que le RGPD ?

RGPD est l’abréviation de Règlement général sur la protection des données. Adopté en avril 2016, le RGPD crée des règles sur la manière dont les données de tous les résidents européens doivent être gérées. Le RGPD est entré en vigueur en mai 2018 et a un impact sur le traitement de toutes les données, des antécédents médicaux aux dossiers financiers en passant par l’activité sur Internet.

Ce faisant, le RGPD a remodelé ce que signifie faire du commerce électronique en Europe, en influençant la manière dont vous vous engagez auprès de vos clients, les outils que vous utilisez et la façon dont vous les utilisez.

Le RGPD n’est pas un document technique. En fait, le e-commerce n’y est abordé qu’une seule fois. Et c’est dans une note de bas de page. Le RGPD doit plutôt être vu comme une déclaration sur les droits fondamentaux : “Le traitement des données à caractère personnel doit être conçu pour servir l’humanité“.

Mais il y a encore beaucoup de choses que les e-commerçants doivent savoir.

RGPD et e-commerce

Pourquoi le RGPD est important ?

La mise en œuvre du RGPD découle de la quantité croissante de données qui sont collectées, transférées, gérées et utilisées de nos jours. L’UE avait déjà mis en place sa directive sur la protection des données, mais celle-ci a été promulguée en 1995 et est, aujourd’hui, dépassée et pas entièrement applicable à l’ère numérique.

Par conséquent, le RGPD a été mis en œuvre en remplacement pour continuer à protéger correctement les données des citoyens de l’Union européenne. En vertu du RGPD, les organisations sont tenues de se conformer à une collecte et une utilisation responsables des données afin de protéger les droits et la vie privée des utilisateurs.

En confiant cette responsabilité aux organisations, le RGPD donne effectivement aux citoyens de l’Union européenne davantage de droits pour comprendre comment et pourquoi leurs informations personnelles sont collectées et traitées. Il leur donne également le droit de décider de la manière dont ils souhaitent que ces informations soient utilisées.

Si vous exploitiez une entreprise e-commerce lorsque le RGPD est entrée en vigueur, vous avez probablement fait votre part pour vous y conformer. Mais si vous commencez à peine en tant qu’entrepreneur e-commerce, vous êtes peut-être encore en train de vous prendre la tête avec le RGPD.

Une mise en conformité RGPD e-commerce nécessaire

Nous n’allons pas vous donner de faux espoirs : se conformer à la norme RGPD représente beaucoup de travail. Mais c’est aussi extrêmement important et ce n’est certainement pas quelque chose que l’on peut simplement ignorer.

Selon la Commission européenne, au cours de la première année depuis la mise en œuvre du RGPD, il y a eu environ 145 000 cas de demandes et de plaintes et près de 90 000 notifications de violations de données.

Le non-respect du RGPD peut entraîner des amendes et des pénalités assez lourdes – jusqu’à 4 % du chiffre d’affaires annuel d’une entreprise ! Exemple : fin 2019, un détaillant polonais a été frappé par la plus grosse amende jamais imposée à RGPD, soit 640 000 euros (source).

Dans les sections suivantes, nous allons voir comment le RGPD vous affecte et comment vous conformer. Vous pouvez aussi regarder cette vidéo FAQ réalisé en collaboration avec la CNIL :

À qui s’adresse la loi RGPD ?

Quel que soit votre lieu d’implantation, le RGPD s’applique à toutes les entreprises qui offrent des produits ou des services aux consommateurs en Europe.

Donc, si votre boutique de commerce électronique est disponible en Europe, vous devez probablement vous conformer au RGPD.

N’oubliez pas : La conformité au RGPD ne concerne pas uniquement les entreprises européennes qui vendent des produits à des clients européens. Elle couvre toute interaction avec les clients en Europe, point final.

Bien entendu, le RGPD ne s’applique pas seulement aux propriétaires de boutiques. La conformité au RGPD s’applique également à vos outils préférés. Google, Facebook et Shopify, pour n’en citer que quelques-uns, doivent également se conformer au RGPD.

Que signifie la conformité au RGPD ?

Avant d’aborder la question de la conformité au RGPD, nous devons d’abord comprendre ce qu’implique réellement la conformité. Voici donc une façon simple de comprendre la conformité au RGPD.

Naviguez sur votre site web et imaginez-vous comme un utilisateur de votre propre site e-commerce. Chaque fois qu’on vous demande des données – que ce soit votre nom, votre adresse électronique, votre numéro de téléphone, etc. – posez-vous ces quatre questions :

  • Est-ce que je sais quelles données ils collectent et à quoi servent ces données ?
  • Ont-ils besoin de ces informations pour les actions que je mène sur leur site web ?
  • Puis-je demander que mes données soient modifiées ou supprimées à tout moment ?
  • Suis-je informé de mes droits en tant qu’utilisateur ?

Si la réponse à l’une de ces questions est non, alors vous n’êtes probablement pas encore tout à fait en conformité avec le RGPD. Si la réponse à une ou plusieurs questions est oui, félicitations, vous êtes sur la bonne voie ! Quoi qu’il en soit, les quelques sections suivantes vous aideront à améliorer vos connaissances et les efforts qui en résultent pour vous mettre, vous et votre entreprise, en conformité avec les normes RGPD.

Comment se passe le RGPD pour les petites entreprises ?

Le RGPD touche les entreprises de toutes tailles. D’un entrepreneur indépendant à une société de 10 000 employés, si une entreprise traite des données sur les Européens, alors le RGPD s’applique.

La plupart des magasins e-commerce sont beaucoup plus proches d’un employé que de 10 000, il est donc important de comprendre comment le RGPD fait la distinction entre les grandes et les petites entreprises.

Les propriétaires de magasins e-commerce doivent savoir que le RGPD ne les traite pas de la même manière que les grandes entreprises. Par exemple, certaines exigences du RGPD en matière de tenue de registres ne s’appliquent qu’aux entreprises de plus de 250 employés.

Lorsque vous lisez des conseils tels que “Il est essentiel de planifier dès maintenant votre approche de la conformité à RGPD et d’obtenir l’adhésion des personnes clés de votre organisation“, vous pouvez vous détendre. Si vous êtes propriétaire d’une boutique en ligne, les “personnes clés” et l'”organisation” sont probablement vous. Si c’est le cas, la méthode RGPD est un peu plus simple.

Mais il y a encore beaucoup d’exigences RGPD qui s’appliquent à tout le monde, quoi qu’il arrive.

Que doivent faire les e-commerçants pour se conformer au RGPD ?

Le RGPD compte 88 pages et plus de 50 000 mots, à l’écriture ennuyeuse. Si vous ne voulez pas lire le RGPD, vous êtes pardonné.

Mais les règles énoncées sont applicables à tous les magasins qui vendent aux consommateurs en Europe, et l’Europe représente environ 25 % du PIB mondial. Même si vous ne prenez pas la peine de lire le RGPD, il y a certaines choses à garder à l’esprit concernant le respect du RGPD.

e-commerce RGPD

Quelles sont les exigences du RGPD ?

Chaque organe directeur ou texte énonce des principes et des commandements qui servent de base aux réglementations qu’il propose.

La RGPD ne fait certainement pas exception à cette règle. Il possède sept principes qui guident sa mise en œuvre, sa réglementation et sa sanction. La prochaine section sera un peu plus technique, car nous examinerons les sept principes du RGPD.

Les sept principes du RGPD

1. Légalité, équité et transparence

Cette disposition stipule que les données que vous recueillez auprès de vos utilisateurs doivent respecter les exigences du RGPD. L’équité et la transparence concernent l’utilisation des données et la visibilité de cette utilisation. En d’autres termes, ce pour quoi vous prétendez collecter leurs données doit correspondre à vos actions. Les utilisateurs doivent également avoir une visibilité sur ces actions.

2. Limitation de la finalité

Le traitement des données doit être “spécifié, explicite et légitime“, ce qui signifie que l’utilisation de données collectées au-delà de leur objectif spécifié est considérée comme une infraction. Pour faire simple, si l’utilisateur consent à vous donner son adresse électronique pour recevoir des bulletins d’information, ces informations ne doivent pas être utilisées d’une autre manière, y compris à des “fins statistiques“.

3. Minimisation des données

En vertu du principe de minimisation des données, les données collectées doivent être réduites au minimum et uniquement ce qui est nécessaire. Plus précisément, elles doivent être “en rapport avec les finalités pour lesquelles elles sont traitées“. Si vous demandez plus de données que ce qui est réellement nécessaire pour atteindre l’objectif visé, vous serez probablement considéré en infraction.

4. Exactitude

Le terme “exactitude” signifie ici n’avoir que des informations actualisées et faire l’effort de les mettre à jour. Cela signifie que vous devez revoir et nettoyer vos données régulièrement. Les données jugées “inexactes” doivent être supprimées immédiatement.

5. Limitation du stockage

Ce cinquième principe du RGPD est assez long et rempli de jargon, alors pour simplifier : supprimez toutes les données dont vous n’avez plus besoin, à moins que vous n’ayez des raisons réelles et légales de les stocker. Si vous décidez de stocker des données, vous devez déterminer la durée de leur conservation et leur finalité (le RGPD ne précise pas explicitement la durée de conservation des données personnelles).

6. Intégrité et confidentialité (sécurité)

La rubrique “Intégrité et confidentialité” vise à protéger les données collectées. En vertu de ce principe, vous devez disposer de mesures de sécurité “techniques ou organisationnelles” appropriées et adéquates pour prévenir le vol et la perte de données – qu’elles soient internes ou externes.

7. Responsabilité

Le dernier principe du RGPD est la façon dont le gouvernement de l’UE s’assure que vous êtes en conformité avec le RGPD. Il stipule que vous devez être en mesure de démontrer les mesures prises pour vous y conformer. Cela signifie que vous devez avoir des dossiers clairs sur ce qui a été fait et à quel moment, si vous avez engagé un spécialiste de la protection des données, si vous examinez vos données régulièrement et, en général, si et comment vous vous conformez au RGPD.

Les meilleures pratiques de RGPD et e-commerce

Les sept principes du RGPD peuvent être une véritable mine d’or.

Ils peuvent sembler être un tas de jargon technique et juridique peu motivant qui vous donne envie de faire tout sauf de les respecter. Mais ne vous inquiétez pas, la section suivante va vous expliquer les choses en termes simples pour vous aider à devenir un e-commerçant respectueux du RGPD.

loi RGPD

Comment mettre un site e-commerce en conformité RGPD ?

Le consentement est roi.

Le RGPD permet aux Européens de contrôler exactement la manière dont leurs données sont utilisées. Par conséquent, être conforme au RGPD signifie que vous ne pouvez pas présumer de ce que veulent vos utilisateurs.

Par exemple, le RGPD déclare : “Le silence, les cases cochées ou l’inactivité ne doivent pas constituer un consentement“. Cela signifie par exemple que vous devez éviter les cases à cocher pré-remplie qui viole le RGPD.

Ne collectez que les données dont vous avez besoin.

Le cœur de la conformité au RGPD est la protection des données des personnes. Vous pouvez limiter votre exposition en ne collectant pas les données dont vous n’avez pas besoin.

S’il n’y a aucun intérêt commercial à savoir, par exemple, pour quelle entreprise travaille votre client, alors le RGPD vous incite à ne pas le demander.

Et si vous comptez utiliser ces données, soyez très clair sur l’usage que vous en ferez.

Par exemple, vous verrez parfois des pages de paiement qui vous demanderont le numéro de téléphone d’un client. Les propriétaires de e-commerces doivent se demander : “À quoi va me servir le numéro de téléphone de cette personne ?

Il y a certainement des raisons légitimes de demander un numéro de téléphone. Il peut s’agir de campagnes de SMS ou de protection contre les commandes frauduleuses. C’est tout à fait normal dans la mesure où le RGPD est respecté. Assurez-vous simplement d’expliquer ces choses dans les conditions générales et la politique de confidentialité.

Faites en sorte que tout soit très clair.

Les autorités de régulation chargées de la mise en conformité avec la directive RGPD aiment la transparence.

Vous pourriez mettre un lien “se désabonner” sur votre site web à côté de “s’abonner“.

Vous pouvez mettre directement un lien vers vos conditions générales et votre politique de confidentialité dans votre pied de page.

Mettre tout cela en évidence est l’un des moyens les plus simples de vous protéger des inquiétudes concernant le respect de la RGPD.

Ne faites pas de choses sournoises.

Pour les entreprises de moins de 250 employés, une grande partie du RGPD se résume à ne pas être sournois. Si vous êtes honnête et transparent et que vous appliquez les meilleures pratiques, vous ne serez pas confronté aux amendes massives qui accompagnent le RGPD.

Liste de contrôle de conformité de RGPD

En bref, voici une liste de contrôle pour être conforme avec le RGPD en e-commerce.

  • Veillez à obtenir un consentement clair. Cela signifie qu’il ne faut pas cocher de cases ni faire d’hypothèses.
  • Ne recueillez que le nécessaire. La règle est la suivante : si vous n’en avez pas besoin, ne le demandez pas.
  • Faites preuve d’ouverture quant à votre conformité au RGPD. Les options d’exclusion, les conditions générales et les déclarations de confidentialité doivent être claires et visibles. Si vous avez des marques de confiance certifiées, montrez-les.
  • Soyez transparent et honnête. Si vous êtes honnête avec vos méthodes, les autorités de régulation peuvent fermer les yeux sur les violations mineures et même vous aider à y remédier.

Notez que cette liste de contrôle RGPD ne sert que de guide. Chaque organisation aura ses propres exigences spécifiques en matière de RGPD à remplir et sa propre politique à énoncer.

Conclusion sur le RGPD et e-commerce

En résumé, qu’est-ce que tout cela signifie pour le RGPD et votre boutique e-commerce ?

Le RGPD concerne les entreprises qui interagissent avec les consommateurs en Europe – ou qui pourraient interagir avec les Européens – quel que soit l’endroit où ces entreprises sont situées.

Le respect du RGPD est un peu plus simple pour les petites entreprises. Cela signifie que la conformité au RGPD est différente pour votre e-commerce que pour une entreprise de grande taille.

Vous pouvez aider votre magasin à se mettre en conformité avec le RGPD en vous assurant que vos conditions générales sont claires, en supprimant les cases pré-cochées et, d’une manière générale, en respectant la vie privée de vos clients et clients potentiels.

Votre entreprise de commerce électronique peut tirer profit du RGPD. La protection des données est une question très importante en Europe, aussi si vous prenez des mesures pour vous conformer à la directive RGPD, vous pouvez en informer tous vos clients.

Besoin d’un accompagnement dans votre projet e-commerce? Contactez-moi pour en discuter! Développeur Prestashop et expert e-commerce, je serai ravi de vous aider.

Grégory Chartier
Publié par Grégory Chartier

Expert Prestashop