-
Temps de lecture: min
Dans cet article :
Tout site commercial qui collecte des données et informations nominatives et constitue des fichiers ou des bases de données de clients et de prospects, doit respecter un certain nombre d’obligations légales en matière de protection des données à caractère personnel. Ce document rappelle les principales obligations en la matière.
En résumé
- Tout site e-commerce collectant des données personnelles doit être en mesure de démontrer, à tout moment et notamment en cas de contrôle de la Cnil, le respect des exigences du RGPD.
- Les e-commerçants doivent obtenir le consentement des utilisateurs lorsqu'il est nécessaire et informer clairement les clients sur leurs droits. Ils sont également tenus d'assurer la confidentialité des données et de sécuriser l'ensemble de leurs systèmes d'information.
- En cas de volume important de données ou de traitements sensibles, le site doit tenir un registre listant tous les traitements réalisés. Pour les traitements susceptibles d'engendrer un risque élevé, une analyse d'impact doit être effectuée avant leur mise en œuvre.
- Les données ne peuvent être utilisées à des fins de prospection, sauf exceptions, que si l'utilisateur y a consenti au préalable. Dans tous les cas, les personnes prospectées doivent être informées de l'usage de leurs données et de leur droit d'opposition.
- A l'arrivée sur le site, l'utilisateur doit pouvoir gérer les cookies via une fenêtre de consentement, en choisissant activement les traceurs qu'il accepte. L'e-commerçant doit proposer des options claires et non pré-cochées.
Les objectifs du RGPD
Le RGPD a deux objectifs principaux :
- renforcer le droit des personnes dont les données sont traitées (quel que soit le support de traitement),
- responsabiliser les entreprises qui traitent ces données.
La Cnil et Bpifrance ont publié un guide pratique de sensibilisation au RGPD pour les TPE-PME. Ce guide développe les grandes étapes pour aider les entreprises à mettre en œuvre leurs dispositifs de protection de données.
Les obligations relatives au traitement des données
Les principales obligations
Les commerçants en ligne doivent se conformer aux obligations suivantes :
- recueillir l'accord des clients si leurs données font l’objet d’un traitement ;
- informer les clients de leur droit d'accès, de modification et de suppression des informations collectées ;
- assurer la sécurité des systèmes d'information ;
- garantir la confidentialité des données ;
indiquer une durée de conservation des données.
Les obligations spécifiques en cas de traitement massif des donnés
Les sites internet ou organismes qui traitent des données personnelles de façon régulières devront répondre à des obligations supplémentaires, à savoir :
- créer un registre des activités de traitement des données personnelles (voir modèle de registre de la Cnil)
- effectuer une analyse d’impact avant la création d’un fichier de collecte de données comportant un risque élevé d’atteinte aux droits et libertés des personnes.
Le RGPD a certes supprimé la plupart des formulaires déclaratifs de traitement des données. La Cnil peut toutefois opérer des contrôles sur place mais également en ligne afin de vérifier votre conformité au règlement.
L’interdiction d’utilisation des données pour prospection commerciale
Il est strictement interdit au commerçant en ligne d’utiliser les données personnelles de l’utilisateur du site à des fins de prospection commerciale sans l'accord préalable du destinataire, donné au moment de la collecte de ses données.
Toutefois, il existe des exceptions où le recueil du consentement n’est pas requis, à savoir :
- si la personne concernée est déjà cliente du site et que la prospection commerciale concerne des produits identiques à ceux déjà achetés sur le site
- la prospection n'est pas de nature commerciale, si elle est à titre caritative par exemple.
Les personnes visées par la prospection devront toujours être tenues informées de l’utilisation de leurs données pour prospection et de leur droit de s’y opposer.
Tout courrier envoyé à des fins de prospection commerciale devra préciser l’identité de l’annonceur et préciser le droit d’opposition à de nouvelles sollicitations.
Découvrez en pratique comment assurer votre conformité au RGPD en 6 étapes.
Les obligations en termes d’affichage
Afficher la politique de collecte, de gestion et de confidentialité des données
Les sites internet, qu’ils soient marchands ou non, ont l’obligation de proposer une page dédiée aux informations personnelles des utilisateurs du site.
Cette page devra notamment :
- expliquer la politique de gestion des informations personnelles du site,
- lister l’ensemble des informations qui sont collectées depuis le site,
préciser la finalité du traitement de ces données.
Créer un formulaire de contact dédié aux données personnelles
Un formulaire de contact dédié pour toute demande liée à la gestion des données personnelles d’un utilisateur du site doit être créé.
L’ensemble des demandes envoyées via ce formulaire devront être adressées au délégué à la protection des données (ou "data protection officer" - DPO) si celui a été désigné par l’entreprise, à défaut au responsable RGPD en charge du traitement des demandes relatives aux données personnelles.
La Cnil met à disposition des modèles de formulaires de contact accessibles via ce lien.
Permettre une gestion des cookies par les utilisateurs
Le RGPD a instauré une obligation d’affichage d’un bandeau ou d’une pop-in dès l’arrivée du visiteur sur n’importe quelle page du site.
L’objectif étant de laisser le choix aux visiteurs de choisir eux-mêmes le type de cookies qu’ils souhaitent laisser actif lors de leur navigation, cela nécessitera une action de leur part (en général une coche). Le bandeau devra également permettre d’accéder à la personnalisation des cookies du site.
Il existe des exemples de textes pour le bandeau dédié aux cookies, accessibles sur le site de la Cnil.
