RGPD et e-commerce : quelles sont les exigences à respecter impérativement ?

RGPD et e-commerce : quelles sont les exigences à respecter impérativement ?

L’entrée en vigueur du RGPD a contraint les entreprises françaises à se mettre en conformité avec plusieurs exigences strictes en matière de gestion des données personnelles, lesquelles sont désormais définies par un règlement commun aux États membres de l’Union européenne. Les e-commerçants sont désormais tenus de respecter une liste de critères définis, qu’ils doivent impérativement mettre en place sur leurs sites ou bien modifier ces derniers si besoin, afin de se mettre en accord avec la nouvelle législation en la matière.

Les éléments à modifier ou créer pour mettre son site en conformité avec le RGPD

Concrètement, pour être en conformité avec le RGPD les e-commerçants doivent respecter les critères suivants :

  • Mettre à jour ou bien créer une page dédiée à la politique de confidentialité appliquée aux données personnelles collectées ;
  • Mettre en place un formulaire de contact permettant aux internautes de mettre à jour leurs données personnelles ou bien de demander leur suppression ;
  • Gérer les cookies pour chaque visiteur ;
  • Modifier la formulation du consentement sur les formulaires ou bien lors des étapes de validation ;
  • Gérer le double opt-in lors de l’adhésion à une newsletter ;
  • Administrer convenablement les données clients.

Afficher une page dédiée à la politique de confidentialité des données

Un site, e-commerce ou non, qui récolte les données personnelles des internautes doit impérativement contenir une page dédiée à la politique de collecte, de gestion et de confidentialité des données. Cette page doit lister clairement l’ensemble des données personnelles collectées depuis le site et leur possible utilisation par l’entreprise.

Le formulaire de contact dédié aux demandes de modification ou de suppression des données personnelles

Les sites doivent désormais proposer aux internautes un formulaire de contact, leur permettant comme l’exige le RGPD de demander la modification ou la suppression de leurs données personnelles. Ce formulaire sera adressé au Responsable RGPD de l’entreprise, ou bien au DPO (Data Protection Officer), dont le rôle est de s’assurer que son employeur, ou client, est bien en conformité avec la législation du RGPD.

La gestion des cookies

Le RGPD exige désormais d’informer clairement les internautes de l’existence de cookies et de leur permettre de gérer eux-mêmes le type de cookies qu’ils acceptent lors de leur navigation sur le site.

Concrètement, cela se traduit par l’apparition d’une pop-up ou bien d’un bandeau affiché dès l’arrivée d’un visiteur sur le site, quelle que soit sa page d’entrée. Cet encart ne peut disparaître tant que l’internaute n’a pas effectué une action parmi plusieurs qui lui sont proposées. Ce bandeau doit impérativement permettre d’accéder à la personnalisation des cookies du site et afficher un lien redirigeant vers la page de politique de confidentialité, obligatoire elle aussi.

La gestion des données personnelles des clients

Le client d’un site e-commerce doit impérativement pouvoir modifier de manière autonome ses données, notamment via son Compte client. Ce qui est, la plupart du temps, déjà possible depuis les Espaces clients des principaux sites e-commerce. Toutefois, le RGPD a introduit une nouvelle obligation qui est le droit à l’oubli.

Le droit à l’oubli signifie que le client peut exiger la suppression définitive de ses données collectées par le site. L’entreprise doit également procéder à un “nettoyage” régulier de sa base de données concernant les clients non actifs, en supprimant les données relatives aux internautes qui n’ont pas passé commande depuis 3 ans ou bien qui ne se sont pas connectés à leur compte client depuis ce même délai. À cela s’ajoute également le droit à la portabilité des données. Les sites e-commerce doivent en effet permettre à leurs clients d’exporter leurs données personnelles facilement, via par exemple un bouton d’export. Ces données doivent à minima comprendre leurs informations personnelles et l’historique de leurs commandes.

Le consentement du client lors du remplissage des formulaires et/ou des étapes de validation

Le RGPD prévoit désormais que tous les formulaires impliquant une collecte de données (par exemple : création de compte, confirmation de commande, abonnement à la newsletter, alerte de disponibilité d’un produit épuisé, etc) informent le visiteur sur la politique de gestion des données personnelles appliquée par l’entreprise. Les mentions doivent être clairement affichées à côté du bouton de validation.

Le double opt-in lors de l’adhésion à une newsletter

Lorsqu’un client s’abonne à la newsletter, le RGPD prévoit désormais une procédure de double consentement. Le premier consentement se faisant généralement au moment de l’inscription à la newsletter depuis le site, généralement en cochant une case prévue à cet effet. La différence résidant dans le fait que les e-commerçants sont désormais tenus d’expliquer clairement la manière dont les données collectées vont être utilisées en faisant figurer un texte adéquat. Ce message, qui doit être adressé au client via un email généré par la première action d’inscription à la newsletter, doit être confirmé par le client afin que son adresse mail soit enfin ajoutée à la base de données de l’entreprise.

Gérer convenablement les données personnelles des clients

À ces premières exigences doit s’ajouter un principe de base : être en mesure de modifier rapidement votre site e-commerce afin de respecter les principes du RGPD. Les préconisations de la CNIL étant liées à l’interprétation que chacun peut en faire, avoir recours à un DPO (Data Protection Officer) dédié à l’application du RGPD au sein de votre entreprise d’e-commerce est, outre une obligation, une mesure nécessaire. Un DPO expert, de préférence externe à votre entreprise, vous permettra d’acquérir les compétences nécessaires à ce sujet, tout en vous accompagnant dans la mise en conformité de votre e-commerce avec les exigences de la RGPD.

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *