La loi RGPD au cœur de la protection des données personnelles

La loi RGPD au cœur de la protection des données personnelles

Adoptée par le parlement européen en avril 2016, la loi RGPD est définitivement entrée en vigueur le 25 mai 2018.
Malgré de nombreuses conférences à ce sujet, ce dispositif législatif suscite encore de nombreuses interrogations auprès des e-commerçants.
Quel sera l’impact de la loir RGPD à terme sur l’évolution du e-commerce ? Comment procéder pour avoir un site marchand conforme aux règlements de ladite loi ? Quelles sont les sanctions en cas de non-respect de la loi ? Des questions auxquelles nous allons répondre dans cet article.

La loi RGPD, qu’est-ce que c’est au juste ?

Le Règlement Général sur la Protection des Données personnelles, RGPD, est une loi européenne qui vise à encadrer les règles de protection des données personnelles et de la vie privée.
Obligeant ainsi les entreprises, principalement celles dont le fonds de commerce est basé sur la collecte du Big Data, à traiter les données recueillies de façon plus responsable.
À ce propos, les exploitants doivent désormais obtenir le consentement explicite des internautes avant de récolter et utiliser leurs informations à caractère personnel.

Mais qu’est-ce qu’une donnée personnelle au sens du RGPD ?

Sont qualifiées “données personnelles” toutes les informations concernant une personne physique permettant son identification, directement ou indirectement, à partir d’une adresse IP, d’un numéro d’immatriculation, d’identité nationale ou de téléphone, d’une photographie, d’une empreinte digitale ou encore l’ADN.

Attention certaines informations sont classées “données sensibles”

Les données dites “sensibles” concernent les origines raciales et ethniques de la personne physique, les opinions politiques, philosophiques ou religieuses. Elles peuvent également concerner la santé de l’individu ou encore sa vie intime, mais aussi les données sur les infractions et les condamnations.
De ce fait, toute collecte de ces données est interdite sans le consentement des personnes intéressées ou l’aval de la Commission Nationale de l’Informatique et des Libertés, CNIL.
Notez bien que l’interdiction ne sera pas applicable dans le cas de traitement justifié par un intérêt public.

Une nouvelle loi pour protéger vos données personnelles ? Cela voudrait dire qu’elles ne l’étaient pas avant l’entrée en vigueur de la loi RGPD?

À vrai dire, si et non.
Ce nouveau règlement, qui est le RGPD, vient remplacer la directive sur la protection des données personnelles adoptée en 1995 qui, comme son nom l’indique, est une consigne qui veille sur la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces derniers.
Ceci dit, la directive sur la protection des données personnelles n’était pas appliquée partout ni par tous.
Avant la mise en œuvre de la loi RGPD, chaque pays pouvait établir ses propres règles. C’était à la fois une corvée juridique pour les entreprises et un moyen de contourner les lois.
La pratique du « forum shopping » au choix de la juridiction la plus avantageuse a ainsi permis à de nombreuses entreprises technologiques de prétendre respecter le droit européen tandis qu’elles ne respectaient que celui de l’Irlande, havre de lois beaucoup plus favorables quant à l’exploitation des données comme aux réductions fiscales.
Autre lacune de la directive sur la protection des données personnelles adoptée en 1995 est qu’elle ne couvre pas l’internaute actuel sur tous les fronts. Comme vous pouvez vous en douter, internet a bien évolué depuis, notamment suite à l’apparition des réseaux sociaux et du commerce en ligne.
Il était donc grand temps d’actualiser les textes de loi et les rendre plus adaptés à l’utilisation que l’on a de l’outil internet en 2018 et les années à venir.

L’impact de la loi RGPD sur l’e-commerce

Certes, l’entrée en vigueur de la loi RGPD a chamboulé la toile notamment les sites d’e-commerce. Néanmoins, vous feriez mieux de considérer cette nouvelle réforme comme une opportunité de développement pour votre site marchand.
Les internautes qui vous confient leurs données personnelles souhaitent unanimement le respect de leurs droits et de leurs vies privées. En respectant ces droits, vous allez renforcer la relation de confiance avec vos clients et, de ce fait, valoriser l’image de votre entreprise. Mieux encore, cette mise en conformité deviendra un argument de vente auprès de votre cible et même un avantage concurrentiel.

E-commerce et collecte de donnée, comment s’y prendre ?

La gestion d’un e-commerce nécessite forcément la collecte de données. Or, cet aspect va demander une prise de précautions toute particulière, conformément au RGPD.
Une stratégie webmarketing efficace passe forcément par le remplissage d’un formulaire en échange d’un contenu : livre blanc, vidéo, formation, tutoriel, offre d’essai gratuite…etc. Bien entendu, les entreprises ne s’arrêtent pas à l’envoi du contenu gratuit, elles utilisent ensuite les données récoltées pour leur campagne de lead nurturing et d’emailing.
Rassurez-vous, il vous sera toujours possible d’utiliser ces méthodes marketing. Toutefois, la mise en conformité RGPD prévoit que vous minimisiez les données récoltées et que vous informiez mieux vos prospects sur l’utilisation de leurs informations personnelles.

RGPD, e-commerce et transparence de l’information

Le RGPD insiste sur votre transparence.
Vos clients doivent savoir comment vous allez utiliser leurs données personnelles pour accepter en toute connaissance de cause ou, le cas échéant, refuser.
Si vous menez une opération webmarketing qui vise à récolter des données personnelles, vous devez créer une page d’information spécifique sur laquelle vous préciserez la manière dont seront utilisés les renseignements personnels, le temps d’exploitation et de sauvegarde ainsi que les modalités pour se désinscrire.

Votre campagne e-mailing obéit aussi au RGPD

La prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui. Autrement dit, l’envoi d’une campagne e-mailing aux particuliers est possible si les destinataires ont déjà effectué un achat similaire auprès de votre entreprise.
Il est donc interdit d’envoyer des emails commerciaux à des internautes qui ne sont jamais entrés en contact avec votre entreprise ou qui n’ont jamais exprimé leur consentement.

La prospection par téléphone n’y échappe pas

Le consentement du prospect ou du client n’est pas nécessaire pour le contacter. En revanche, s’il émet une opposition à ce type de communication, vous devez le rayer de votre liste de phoning.
Attention, seul un véritable commercial peut contacter le client. Les automates d’appel sont interdits, sauf si vous avez reçu un consentement préalable.
Idem pour les SMS Marketing, un moyen de communication très en vogue, car il est peu coûteux pour un ROI particulièrement rentable.
Vous devez obtenir le consentement préalable des appelés avant de leur envoyer vos offres promotionnelles, sauf s’ils sont déjà clients. Dans ce cas, votre entreprise doit être clairement identifiée dans le SMS.
Attention : qu’il s’agisse des appels ou des SMS, vous devez proposer un moyen d’opposition aux deux modes de contact qui soit simple et rapide.

Permettre la gestion des cookies sur le site

Désormais, vous devez donner la possibilité aux visiteurs de choisir eux-mêmes le type de cookies qu’ils souhaitent laisser actifs lors de leur navigation sur votre site e-commerce.
Cela se traduit par l’apparition d’un bandeau ou d’une Pop in qui s’affiche dès l’arrivée du visiteur sur n’importe quelle page du site. Cette mention doit rester visible jusqu’à ce que l’internaute effectue une action parmi les choix proposés.
Ce bandeau comporte une mention légale et permet d’accéder à la personnalisation des cookies du site.

Conforme au RGPD : ce que vous devez absolument faire, sinon…

Entamez votre mise en conformité

Devenir conforme au RGPD en 6 étapes seulement, découvrez-les :
1. Désignez un Délégué à la Protection des Données (DPO)
Le DPO est le chef d’orchestre qui se chargera de piloter la gouvernance des données personnelles au sein de votre entreprise. Il a pour mission de :
– Informer et de conseiller le responsable de traitements, le sous-traitant ainsi que les employés de l’entreprise ;
– Contrôler en interne le respect du règlement européen ainsi que le droit national en matière de protection des données ;
– Coopérer avec l’autorité de contrôle en étant le point de contact de celle-ci.
Attention : la désignation d’un DPO concerne uniquement les entreprises de plus de 250 employés.

2. Recensez vos traitements de données personnelles
Tenir un registre interne vous permettant de recenser de façon précise le traitement des données personnelles que vous mettez en œuvre.
L’objectif de cette manœuvre est de s’assurer que le traitement respecte bien les nouvelles obligations légales mises en place par l’Union européenne.
Pour chaque traitement d’information à caractère personnel, posez-vous les questions suivantes : Qui ? Quoi ? Pourquoi ? Où ? Jusqu’à quand ? Comment ?

3. Priorisez les actions à mener
Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Pour ce faire :
– Collectez uniquement les données strictement nécessaires à la poursuite de votre objectif ;
– Identifiez la base juridique sur laquelle se fonde votre traitement ;
– Révisez vos mentions d’informations afin qu’elles soient conformes aux exigences du règlement ;
– Prévoyez les modalités d’exercices des droits des personnes concernées, à savoir : le droit d’accès, de rectification, d’oubli, le droit à la portabilité ou encore le droit au retrait du consentement.
N’oubliez pas non plus de vérifier les mesures de sécurité mises en place.

4. Menez une analyse d’impact sur la protection des données (PIA)
Le PIA est une étude qui vous aide à mettre en place des traitements de données respectueux de la vie privée et qui permettent d’en démontrer la conformité auprès du RGPD.
Le PIA repose sur deux piliers :

  • Les principes et droits fondamentaux fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
  • La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et l’organisation appropriées pour protéger les données personnelles.

5. Définissez les processus internes
Pour garantir une protection des données personnelles optimale, il faut élaborer des processus internes qui prennent en considération l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire, etc.).

6. Prouvez votre conformité
Afin de prouver votre conformité au règlement, vous devez constituer et rassembler la documentation nécessaire. Vous devez également réexaminer et mettre à jour toutes les actions et documents réalisés tout au long du procédé pour assurer une protection des données constante.

Non-respect des règles = sanctions

Le règlement étend le pouvoir de sanction de la CNIL. Celle-ci pourra désormais prononcer des avertissements, mettre en demeure lesdites entreprises, limiter temporairement ou définitivement un traitement, suspendre les flux de données ou encore ordonner de satisfaire aux demandes d’exercice des droits des personnes.
Ce n’est pas tout, la CNIL détient également le pouvoir d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise concernée.

Ce que vous devez retenir sur le RGPD

Collectez seulement les données dont vous avez besoin et veillez à la sécurité des données récoltées : garantir sa confidentialité, l’intégrité, la disponibilité et la sécurité.
Modifiez votre site internet afin que tout internaute puisse répondre “Oui” ou “Non” pour la récupération de ses données personnelles.
Disposez d’un consentement écrit, clair et explicite de la part de vos clients ainsi qu’une preuve de leur consentement et laissez-leur la possibilité de pouvoir supprimer leurs données personnelles.
Mettez en place un registre de collecte des données et nommez un DPO, seulement si vous êtes dans une entreprise de plus de 250 personnes.

En bref…

Vous l’aurez compris, la nouvelle loi RGPD ne limite pas vos actions en tant qu’e-commerçant. Elle ne fait que structurer l’exploitation des données personnelles et harmoniser les lois qui régissent la collecte de ces informations dans l’ensemble des pays apparentant à l’Union européenne.
Au cas où vous l’auriez oublié, avant d’être un e-commerçant, vous êtes d’abord un internaute et un consommateur.

Qu’en est-il de votre site marchand ? Est-il conforme au RGPD ?

Laisser un commentaire

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer