La nouvelle Règlementation Européenne sur la Protection des Données va bientôt entrer en application. Les e-Commerçants doivent donc connaitre les implications de ce texte pour pouvoir se mettre en conformité.
Qu’est-ce que le Règlement Général européen sur la Protection des Données ?
Le RGPD (Règlement Général européen sur la Protection des Données) est une nouvelle règlementation visant à améliorer la protection et la confidentialité des données, d’une part, et responsabiliser davantage les entreprises en développant l’auto-contrôle, d’autre part. Cela signifie que ces entreprises devront donc s’assurer que toutes les données qu’elles stockent sont en conformité avec la réglementation.
D’un côté il ne sera plus nécessaire de s’acquitter de formalités auprès de la CNIL, mais en contrepartie la responsabilité des organismes et des entreprises va être renforcée via le RGPD.
L’échéance
D’ici le 25 mai 2018 toutes les entreprises devront respecter la nouvelle réglementation.
Les sanctions en cas de non-conformité
Les autorités de contrôle auront la possibilité de sanctionner les entreprises (les amendes peuvent aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires annuel en fonction du montant le plus élevé). Il faudrait certainement une constatation d’une infraction grave du règlement pour que la sanction atteigne des montant aussi élevés, mais cela ne signifie pas pour autant qu’il n’y aura aucune répercussion en cas d’infractions. Et il faut aussi prendre en compte l’atteinte à la réputation de la boutique en cas de fuite de données personnelles ou de condamnation suite à un manquement.
Qui est concerné par le RGPD ?
Toute entreprise qui récolte et manipule des données personnelles devra se mettre en conformité (du fichier du personnel aux données nominatives d’usagers ou clients).
Dans le cas plus précis du e-commerce, le RGPD s’applique à tous les acteurs : le e-Commerçant lui-même ainsi que les différents services et prestataires sur lequel il s’appuie au quotidien. Et qu’importe si son activité se cantonne au B2B, il peut être amené à manipuler les données personnelles des clients de ses clients (par exemple un logisticien ou un fournisseur travaillant en dropshipping).
Ma solution technique est-elle conforme au RGPD ?
L’applicatif de gestion de boutique en ligne ou l’outil CRM utilisé par le e-Commerçant (WooCommerce, Prestashop, Magento, Oxatis, Shopify, etc) ne peut être la seule réponse à la problématique du RGPD. Il est nécessaire de mener d’autres actions pour se mettre en conformité…
Comment se mettre en conformité avec le RGPD ?
Le texte officiel de cette nouvelle règlementation ne fournit pas une méthode explicite de mise en conformité. Mais la CNIL nous livre son interprétation pour nous guider dans les étapes à mener pour se mettre en conformité :
- Désigner un pilote : c’est-à-dire désigner un Délégué à la Protection de Données (DPO), en charge du respect et de l’application de ces nouvelles mesures,
- Cartographier vos traitements : inventorier les données personnelles stockées ainsi que les processus appliqués actuellement sur ces données. Cela concerne vos fichiers et ceux de vos sous-traitants ou fournisseurs,
- Mesurer les écarts avec la nouvelle règlementation,
- Définir et prioriser les actions à mener pour la mise en conformité,
- Mettre en œuvre ces actions et ces nouveaux processus relatifs à la protection des données,
- Documenter et respecter les nouveaux processus au quotidien.
Concrètement, quelles sont les actions à mener pour un e-commerçant ?
Les recommandations décrites par la CNIL restent encore très théoriques, c’est pourquoi nous travaillons actuellement à l’application de ces recommandations au secteur du e-commerce. Nous pourrons ainsi offrir à nos clients des solutions concrètes pour les accompagner à chaque étape de leur mise en conformité :
- Identification des données sensibles manipulées
Nom, prénom, âge, adresse postale, numéro de téléphone, etc. - Modèles de fiches de traitements
Cheminement et traitement des données sensibles
- Identification des traitement de données de vos partenaires les plus courants
Outils marketing (Newsletter, collecte d’avis, retargeting, affiliation, etc), gestionnaires de flux, EDI transporteurs ou fournisseurs, modules, contrat VAD et délégations de paiement, etc…
- Quelles informations communiquer et comment
Identité du DPO, Localisation géographique du serveur, liste des données personnelles stockées, pour quel usage et pour quelle durée de conservation, Politique d’archivage, Droit d’accès aux données, etc.
- Recueil et respect complet du consentement client
Opt-in systématique si ce n’était pas déjà le cas
- Suppression de toutes les données collectées de façon illicite ou déloyale
Ainsi que les comptes clients inactifs depuis plus de 3 ans
- Vérifier la protection technique des données
Évaluation technique de l’hébergeur
- Procédure d’accès pour le client à ses données personnelles
- Procédures de signalement en cas de piratage ou de fuite des données
- Évolution des procédures et documentations internes
Charte informatique interne, mesures de sécurité (profils et droits d’accès), clauses de confidentialité, charte sur les données personnelles, formation des personnels, soumettre les intervenants extérieurs et sous-traitants au respect des chartes et règlementations.
- Respect des nouvelles procédures au quotidien
- Autres actions à mener en fonction de votre activité ou du contexte…
