cubecube
E-commerce

Données personnelles RGPD : obligations de l’e-commerçant

December 14, 2023

Julien Zerbib
SOMMAIRE
  1. 1 - Qu’est-ce que le RGPD et que recouvre la donnée personnelle ?
    1. 2 - Données personnelles RGPD : les obligations en matière d’information de l’internaute
      1. 3 - Quelles autres obligations l’e-commerçant doit-il respecter au niveau du RGPD ?
        1. 4 - E-commerce : sanctions RGPD en cas de non-respect et bonnes pratiques recommandées

          Comme tout entrepreneur, et encore plus en tant qu’e-commerçant, préoccupez-vous de la mise en conformité avec la réglementation relative aux données personnelles RGPD. D’une part, les sanctions peuvent s’avérer lourdes en cas de non-respect des dispositions prévues par la loi en France ainsi que sur tout le territoire européen. D’autre part, c’est une manière de rassurer vos clients qui surfent sur votre site web et réalisent leurs achats en ligne. Cet article vous apporte les clés essentielles pour appliquer correctement ce règlement général sur la protection des données personnelles (RGPD).

          1 - Qu’est-ce que le RGPD et que recouvre la donnée personnelle ?

          Vous venez de vous lancer dans un commerce en ligne ? Vous détenez déjà une e-boutique, mais souhaitez vérifier votre conformité au règlement RGPD ? Pour comprendre quelles sont vos obligations en matière de protection des données personnelles des clients et internautes, voici plusieurs informations sur la définition du RGPD, de la notion de données personnelles et de leur traitement.

          1.1 - Données personnelles : définition

          Comme le décrit la Commission nationale de l’informatique et des libertés (CNIL), la donnée personnelle correspond à "une information se rapportant à une personne physique identifiée ou identifiable". Cette identification s’effectue soit :

          • directement via la détention du nom et du prénom de la personne ;

          • indirectement, par la connaissance d’une donnée comme un identifiant, un numéro de téléphone, des données biométriques, culturelles, physiques, génétiques, etc., voire par la voix ou par l’image.

          1.2 - RGPD ou règlement général sur la protection des données

          Ce règlement européen vise à renforcer le contrôle par les individus de l’utilisation qui est faite de leurs données à caractère personnel. En France, c’est la loi du 20 juin 2018 relative à la protection des données qui définit les règles à appliquer, tant pour collecter que pour utiliser ces informations.

          1.3 - Quelles entreprises doivent respecter la conformité des données personnelles au RGPD ?

          Toutes les entités privées comme publiques établies en France ainsi que dans toute l’Union européenne doivent appliquer le RGPD. Notez que ce règlement concerne aussi toutes les entreprises situées hors de l’Union, mais qui traitent avec des individus qui résident sur le territoire européen.

          Enfin, la réglementation ne s’adresse pas qu’au responsable du traitement des données. Elle s’applique aussi aux sous-traitants qui réalisent le traitement pour le compte d’une autre société. Chaque entreprise présente des obligations, qu’elle collecte ou traite des données personnelles.

          1.4 - En quoi consiste le traitement de données personnelles ?

          La CNIL définit le traitement de données à caractère personnel comme "une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé". Parmi les procédés, la CNIL précise qu’il peut s’agir de :

          • "collecte ;

          • enregistrement ;

          • organisation ;

          • conservation ;

          • adaptation ;

          • modification ;

          • extraction ;

          • consultation ;

          • utilisation ;

          • communication par transmission, diffusion ou toute autre forme de mise à disposition."

          Le traitement de données doit toutefois poursuivre un objectif précis et légitime au regard de l’activité de celui qui réalise la collecte des informations. En outre, cet objectif est déterminé dans le temps. Ainsi, une collecte de données "au cas où" n'est pas autorisée.

          2 - Données personnelles RGPD : les obligations en matière d’information de l’internaute

          L’information intervient dans des cas précis de collecte de données, sous une forme particulière et en respectant des délais réglementés. C’est essentiel de s’y conformer. D’une part, vous évitez les sanctions. D’autre part, cela contribue à rassurer les internautes, tout comme les avis en ligne, les témoignages clients, les informations relatives au service après vente, le contenu de votre blog, vos mentions légales, etc.

          2.1 - Dans quels cas informer une personne ?

          Deux situations doivent conduire à informer l’internaute : 

          • collecte directe de données personnelles, soit activement (signature d’un contrat, remplissage d’un formulaire, ouverture d’un compte bancaire, etc.), soit indirectement en observant son activité sur le site (cookies, géolocalisation, etc.) ;

          • collecte indirecte de données personnelles, c'est-à-dire récupérées auprès de partenaires commerciaux.

          2.2 - Quelles informations communiquer à la personne physique ?

          Dans ces situations, l’entreprise e-commerce doit transmettre de nombreuses informations à l’internaute. Le détail figure sur la page economie.gouv.fr qui traite des obligations en cas d’utilisation de données personnelles.

          2.3 - Quand réaliser la communication obligatoire ?

          Notez que cette information doit intervenir lors de la collecte directe ou dès que possible pour de la collecte indirecte. Vos obligations d’information ne s’arrêtent pas là. En effet, en cas de modification de l’utilisation de ces données, l’e-commerçant doit prévenir l’internaute. Enfin, la loi demande à ce que régulièrement chaque personne soit avertie de l’utilisation de ses données personnelles. Si le mode de collecte est indirect, l’entreprise est aussi responsable de transmettre la source des données récupérées à chaque personne physique concernée.

          2.4 - Quelles sont les obligations en matière d’information sur les droits de l’internaute ?

          Enfin, les professionnels doivent également informer chaque personne de son droit à :

          • accéder aux données ;

          • effacer ou rectifier ses données ;

          • révoquer son consentement ;

          • réaliser une réclamation selon le dispositif prévu auprès de la CNIL.

          3 - Quelles autres obligations l’e-commerçant doit-il respecter au niveau du RGPD ?

          En dehors de son devoir d’information de l’internaute, l’entrepreneur qui vend en ligne doit également respecter les autres dispositions suivantes.

          3.1 - Tenir un registre et sécuriser les données personnelles collectées

          Les données collectées sur votre fichier informatique (et même papier) doivent être sécurisées. Aussi, l’article 5 du RGPD fixe les dispositions obligatoires afin de garantir que les données sont intègres et protégées, tout en réduisant autant que possible le risque de piratage. D’ailleurs, en cas de malveillance sur votre site, vous êtes responsable d'informer la CNIL des violations de données personnelles.

          Concrètement, pensez à : 

          • crypter si possible les données ;

          • surveiller vos mises à jour de logiciels ;

          • modifier régulièrement les mots de passe ;

          • contrôler l’antivirus.

          Définissez également avec précision qui a accès aux données et comment tracer leurs diverses utilisations. Ce fichier détaille aussi les traitements réalisés sur les données avec l’objectif de collecte et la définition des différentes catégories de données. Enfin, chaque donnée doit présenter un délai de conservation de l’information collectée. Par exemple, pour des coordonnées bancaires, l’e-commerce ne peut pas les garder après l’étape de paiement.

          3.2 - Obtenir le consentement de l’internaute obligatoire dans certains cas

          Le RGPD impose d’obtenir l’accord de la personne physique avant de collecter certaines données. C’est le cas pour des objectifs de prospection commerciale (newsletters) et parfois, lors de l’utilisation de traceurs publicitaires ou de cookies.

          4 - E-commerce : sanctions RGPD en cas de non-respect et bonnes pratiques recommandées

          Respecter le RGPD s’impose. C’est d’autant plus vrai que les sanctions peuvent s'avérer conséquentes. C’est aussi très important pour donner confiance aux visiteurs sur votre site web.

          4.1 - Les sanctions en cas de non-conformité au RGPD

          Si vous omettez d’informer l’internaute, sachez que les sanctions peuvent s’avérer très lourdes. En effet, le défaut d’information est passible de diverses mesures que vous détaille la CNIL, qu’il s’agisse de la procédure contradictoire ou de la procédure de sanction simplifiée. Par ailleurs, l’article 226-16 du Code pénal prévoit pour le traitement de données à caractère personnel non consenti, une amende de 300 000 euros, mais aussi une peine possible de 5 ans de prison. 

          4.2 - Comment vérifier votre conformité RGPD : les bonnes pratiques recommandées pour les e-commerçants

          En tant qu’e-commerçant, vous pouvez vous référer au guide publié par la CNIL et BpiFrance pour la mise en application correcte du RGPD pour votre activité en ligne. C’est un cadre pour adopter les bonnes pratiques relatives au traitement et à la sécurité des données à caractère personnel. Ces recommandations concernent l’ensemble des endroits et possibilités qui conduisent à collecter et à traiter de telles informations auprès du public. En résumé :

          1. Pour un site vitrine, prévoir des informations minimales comme les mentions CNIL, un moyen de contacter le site et les mentions légales obligatoires.

          2. Sur les réseaux sociaux, indiquer les informations sur les droits des internautes.

          3. Pour une boutique en ligne, vérifier que la donnée collectée auprès des visiteurs se justifie au regard du service rendu, communiquer les informations obligatoires et expliquer ses droits à l’internaute.

          4. En cas de présence de cookies ou de traceurs publicitaires, dans le cadre de publicité sur internet, réaliser les actions prévues par le RGPD en matière de consentement du public.

          Les entreprises de vente en ligne sont les premières concernées par les données personnelles et le RGPD. C’est particulièrement vrai pour les services en B2C qui mettent en relation des personnes physiques et l’e-commerçant. C’est dans votre intérêt de comprendre d’abord en quoi consiste une donnée personnelle et ce que recouvre le droit de la personne en matière de protection. Ensuite, identifiez ces données. Puis, définissez les finalités de chaque collecte. Avec les conseils et outils pratiques mentionnés dans cet article, organisez votre registre de données, la sécurité du stockage, l’information de chaque individu ainsi que le recueil de son consentement en cas d'exigence légale.

          December 14, 2023

          Julien Zerbib
          cubecube

          Autres articles

            Voir plus
            Rejoignez notre Newsletter
            Solutions
            Financement de stockFinancement de campagne marketingFinancement marketplace
            Ressources
            E-bookLexiqueBlogFAQ
            Entreprise
            PartenairesSuccess StoryA proposPartenaires
            Contact
            PresseSe connecterNous contacter
            Tous droits réservés ©Unlimitd 2023
            Politique de confidentialitéConditions d'utilisations