RGPD : checklist pour mettre en conformité votre plateforme e-commerce

[chapo]Vous n’avez pas pu passer à côté : le tant redouté RGPD est entré en vigueur il y a quelques semaines, nous invitant tous à redoubler de vigilance dans nos manipulations quotidiennes de données personnelles. Nous souhaitions, par le biais de cet article, non pas vous expliquer ce qu’est le RGPD et les obligations qui en découlent, mais partager avec vous des conseils concrets afin de vous accompagner dans la mise en conformité de votre plateforme E-commerce. [/chapo]

Vous recueillez quotidiennement des données personnelles à propos de vos clients, des données démographiques, comportementales et bancaires. Le RGPD vous impose de prendre les mesures nécessaires afin de garantir une collecte et un traitement licite de celles-ci.

Mais concrètement : savez-vous ce que vous devez vérifier ? Votre site est-il conforme ? Quelles actions devez-vous mener ? Après des dizaines d’articles lus, le flou persiste ? Synolia a décortiqué pour vous la nouvelle réglementation. Nous partageons ici une synthèse, sous forme de checklist d’actions concrètes à mener afin de vous accompagner dans votre mise en conformité au RGPD.

Gardez à l’esprit qu’il s’agit là d’une interprétation par Synolia des textes de lois, qui rappelons-le présentent des principes et obligations mais ne détaillent en aucun cas les actions à mettre en œuvre. Cette liste n’a pas non plus la prétention d’être exhaustive.

RGPD : Mettre son site E-commerce en conformité, vos obligations

CGV  et Politique de confidentialité

• Inclure les aspects relatifs aux données personnelles dans les CGV ou une page dédiée (exemple : une page politique de confidentialité)
• Permettre de valider explicitement les CGV au moment du paiement (exemple : via une case à cocher)
• Informer vos clients par email de la mise à jour des CGV suite à l’entrée en vigueur du RGPD

Bandeaux cookies avec collecte de données personnelles

• Afficher un bandeau cookie au moment de la première connexion
• Demander l’autorisation pour la collecte des données personnelles

L’acceptation doit se faire par une action de la forme d’un opt-in de la part de l’utilisateur : case à cocher ou bouton « j’accepte »

• Communiquer sur la finalité des données récoltées
• Indiquer la durée de validité du consentement à l’utilisateur.
• Communiquer à l’utilisateur la marche à suivre pour qu’il puisse retirer son consentement

Formulaire de contact

• Accompagner le formulaire de contact d’une mention de type :

« Les informations mentionnées dans ce formulaire ne pourront être utilisées que conformément à la loi informatique et liberté 78-17 du 06/01/78. Vous disposez d’un droit d’accès et de modification et/ou suppression de ces données »

Exemple : https://www.cnil.fr/webform/nous-contacter

Vous pouvez mettre à jour la mention pour faire référence au Règlement Général sur la Protection des Données

• Indiquer que la collecte des données sert uniquement à pouvoir répondre à la demande

Gestion des inscrits à une newsletter :

• Préciser la finalité de la newsletter (envoi d’offres promotionnelles, actualités etc.)
• L’inscription doit faire l’objet d’un opt-in explicite
• Historiser le consentement : vous devez garder une trace de la date d’inscription
• Recueillir de nouveau le consentement ou supprimer de la base un abonné si ce dernier n’a pas manifesté d’intérêt positif (pas de clic sur un lien présent dans la newsletter, à savoir que l’ouverture seule d’une newsletter dans sa boîte mail, n’est pas considérée comme une activité) depuis plus de 36 mois
• Proposer un lien de désinscription fonctionnel à l’utilisateur pour qu’il puisse révoquer son consentement à tout moment.
• Prendre en compte le désabonnement sous un délai de 30 jours. En cas de dépassement, il est nécessaire d’en informer l’utilisateur et de préciser les raisons justifiant un délai supplémentaire.
• Rappeler la marche à suivre pour se désabonner dans les CGV ou dans la Politique de confidentialité.

Création d’un compte client :

• Limiter la collecte de données personnelles au nécessaire pour votre activité
• Distinguer les champs facultatifs des champs obligatoires
  (* ou mention facultatif/obligatoire)
• Préciser la finalité de(s) traitement(s).

Exemples :

• Date de naissance : « Nous pourrons vous envoyer des offres anniversaire »
• Date de naissance : « Nous souhaitons nous assurer que vous avez plus de 16 ans »
• Restreindre la collecte de données personnelles en fonction de l’âge de l’utilisateur :
  • Mineur de moins de 13 ans : la récolte de données personnelles est strictement interdite
  • Mineur de moins de 16 ans : la récolte de données personnelles est autorisée sous réserve d’un accord parental.
• Proposer un lien vers la page acceptation de la « Politique de confidentialité »
• Veiller à ce que les mots de passe client ne soient pas stockés en clair dans la base.

Compte client :

Permettre au  client de :

• Consulter et modifier ses informations personnelles
• Demander la portabilité de ses informations personnelles
• Supprimer son compte et l’ensemble des informations personnelles le concernant

Les modifications et suppressions doivent être répercutées partout où les données sont présentes (archives, bases, solutions tierces interconnectées…)

Sécuriser les données personnelles de vos utilisateurs

• Cartographier précisément les flux de données personnelles (type de données, lieux de stockage, transfert, synchronisation)
• Limiter en interne et en externe l’accès aux données personnelles (dans les bases de données) uniquement aux personnes légitimes
• Limiter le transfert des données personnelles vers des solutions tierces (Éditeur de modules, Agences, Marketplaces, Prestataires…
• Veiller à ce que vos partenaires (solutions tierces, consultants, freelance…) soient bien en conformité avec le RGPD
• Activer le protocole « https » sur les écrans comportant des données personnelles
• Créer des accès individuels pour les solutions manipulées si ces outils permettent d’accéder ou de modifier des données personnelles (CMS E-commerce, ERP, CRM etc.)
• Si malgré tout, des données personnelles constituant un risque au regard de la vie privée des personnes concernées viennent à fuiter, il est nécessaire de :
  • Prévenir les personnes concernées sous un délai de 72h
  • Avertir la CNIL : https://notifications.cnil.fr/notifications/index

Hébergement et transfert

• S’assurer que la gestion des données personnelles d’utilisateurs Européens se fasse dans des conditions respectant le RGPD. Le transfert de ces données est possible si celui-ci est fait vers :
  • Un autre pays Européen (UE)
  • Un pays disposant d’accords spécifiques avec l’UE sur la question des données personnelles:
  • Liste des pays compatibles : https://linc.cnil.fr/fr/la-protection-des-donnees-dans-le-monde.
  • Si un pays n’est pas sur la liste, il faut l’accord explicite de la personne dont on récolte les informations personnelles.

Vous souhaitez aller plus loin ? Téléchargez notre checklist complète reprenant à la fois les ajustements obligatoires à mettre en place mais aussi les bonnes pratiques que nous préconisons.

Télécharger la checklist RGPD des E-commerçants

Maintenant que vous en savez plus sur le spectre d’ajustements qu’induit l’entrée en vigueur du RGPD, il vous reste à respirer profondément et… à vous lancer !

Si vous avez encore des questions, contactez-nous ! 

Je contacte Synolia

Auteures : Alexandra Molette, chef de projet E-commerce & Stéphanie Grégis, chef de projet E-commerce – Synolia