RGPD Magento
E-commerce

RGPD : Votre site Magento 1 est-il en conformité ?

Par Synolia le 27 septembre 2018

 Lecture 9 minutes

Vous êtes e-commerçant et vous utilisez la solution Magento 1 EE ?

Maintenant que vous savez tout sur le RGPD grâce à notre super checklist du e-commerçant, il est l’heure de regarder dans le détail ce que vous permet votre Solution e-commerce Magento 1 !

Le RGPD apporte des changements dans la manière dont nous récoltons, manipulons et stockons les données personnelles au quotidien. En dépit du lot de bouleversements que cela semble apporter, le fonctionnel standard de Magento 1 peut répondre à une partie des besoins lié au RGPD.

Pour vous donner toutes les clés, nous vous avons préparé un petit résumé des fonctionnalités et configurations sur lesquelles vous pouvez vous appuyer pour vous rapprocher du Graal de la conformité RGPD. En parallèle, nous ferons le point sur les limites du standard de la solution Magento 1.

Récapitulatif des principaux pre-requis RGPD et leur gestion
dans Magento 1

Check list des principaux pré-requis RGPD Magento 1
CGV & Politique de confidentialité
Afficher une page CGV et de confidentialité administrable Standard – Configuration BO
Demander la validation explicite des CGV au moment de la commande Standard – Configuration BO
Bandeau Cookies
Afficher un bandeau Cookies avec les informations nécessaires Développement spécifique
Obtenir le consentement de l’utilisateur pour les outils externes de collecte de données personnelles (Analytics, GTM …) Développement spécifique
Formulaire de contact
Préciser la finalité du formulaire Développement spécifique
Inscription à la Newsletter
Appliquer un opt-in à l’inscription Standard - Automatique
Historiser la date d’inscription à la newsletter standard Développement spécifique
Supprimer un inscrit à la newsletter Standard – Configuration BO
Proposer un lien de désabonnement pour les NL Magento Standard - Automatique
Proposer un double opt-in lors de l’inscription à la NL (facultatif) Standard – Configuration BO
Création de compte
Préciser la finalité des champs demandés Développement spécifique
Distinguer les champs facultatifs des champs obligatoires Standard – Configuration BO
Imposer un mot de passe complexe Développement spécifique
Vérifier l’âge de l’internaute (>16 ans) Développement spécifique
Proposer un lien vers la page acceptation de la « politique de confidentialité » Développement spécifique
Ne pas envoyer de mot de passe en clair par mail Standard – Configuration BO
Ne pas stocker le mot de passe en clair Standard - Automatique
Compte client
Permettre à l’utilisateur de consulter et modifier ses données personnelles Standard - Automatique
Supprimer un compte Standard – Configuration BO *
Ajouter dans les CGV un mail pour que l’internaute demande la suppression de son compte et/ou l’extraction des données le concernant Standard – Configuration BO
Extraire des informations client depuis le BO via un export Standard – Configuration BO *
Sécurisation des données
Gérer des niveaux de droits utilisateurs Standard – Configuration BO
Appliquer les mises à jour Magento 1 Développement spécifique

* Fonctionnalité disponible, mais ne couvrant que partiellement le niveau d’attente lié au RGPD. Nous vous donnons plus d’informations à ce sujet dans la suite de l’article.

Force est de constater que tous les impératifs RGPD ne sont pas couverts nativement par Magento 1. Il est alors nécessaire de passer par des développements spécifiques pour répondre au besoin de mise en conformité. Néanmoins, Magento 1 permettra de couvrir une partie des besoins, parfois nativement sans action nécessaire, d’autre fois à l’aide de configurations dans le back office. La liste ci-après devrait vous aider à y voir plus clair...

8 fonctionnalités BO à connaître pour la mise en conformité de votre plateforme

  1. Faire valider les CGV au moment de la commande

    Légalement, vous devez faire valider vos CGV à l’internaute au moment du passage de commande.  Il s’agit d’une fonctionnalité standard de Magento 1, qui peut être configurée en BO :

    Activer la fonctionnalité :

    System > Configuration > Sales  > Checkout > Checkout option > Enable terms and conditions -> YES

    Modifier le contenu du texte affiché : Sales > Terms and conditions

    CGV

  2. Supprimer un abonné à la Newsletter

    Newsletter > Newsletter subscriber : sélectionner les inscrits à supprimer, puis action en masse « delete » > Bouton submit

    Abonnés Newsletters

    Attention, la désinscription et la suppression sont donc deux notions différentes : dans le premier cas l’adresse e-mail de l’utilisateur est conservée tandis que dans le second cas, elle est supprimée. Légalement, si un inscrit à la newsletter demande à être supprimé de votre base de données, le désabonnement n’est pas suffisant.

  3. Mise en place d’un double opt-in à l’inscription newsletter

    Vous pouvez demander à l’internaute de valider son inscription à la newsletter en cliquant sur un lien de confirmation qui lui est envoyé par email. Cette double confirmation s’applique aux inscriptions via le footer et à la création de compte si vous vous basez sur le standard de la solution Magento 1.

    Cette double validation n’est pas une obligation légale, elle est toutefois possible et permet d’aller plus loin dans le recueil de consentement.

    Il s’agit d’une configuration en BO :
    System > Configuration > Customer > Newsletter > « Subscription options > « Need to confirm »
    à passer sur oui
    Subscription
    Attention, même si l’internaute ne valide pas son inscription en cliquant sur le lien, il est ajouté dans la liste d’abonnés avec un statut « Non activé ». Ses informations personnelles (emails) sont donc récoltées.
    Statut

  4. Sécuriser l’envoi des mots de passe

    L’envoi de mots de passe en clair constitue d’une part une faille de sécurité et d’autre part peut paraître inquiétant, notamment pour les utilisateurs avertis. Vous pouvez supprimer les mots de passe envoyés aux clients en modifiant les templates e-mail concernés.

    Une astuce consiste à simplement remplacer la variable qui permet d’insérer le mot de passe de l’utilisateur dans le mail par des ****** :
    Mot de passe
    La marche à suivre : vous rendre dans System > Transactional emails > Add new template
    Puis sélectionner le template envoyé lors de l’inscription et remplacer la variable mot de passe.

    Habituellement seul l’email de confirmation d’inscription est concerné par cette manipulation. Il est toutefois nécessaire de vérifier les autres templates que vous utilisez, notamment ceux qui ont pu être customisés par vos soins.

  5. Distinguer les champs facultatifs des champs obligatoires

    Dans une logique de ne pas récolter plus d’informations personnelles que nécessaire, il est important de clairement spécifier à l’utilisateur les informations obligatoires et celles qui ne le sont pas.

    C’est notamment le cas pour le formulaire d’inscription. Deux configurations permettent de gérer cela :
    Customers > attributes > Manage Customer adresses attributes (ex : ville, société, …)

    Customers > attributes > Manage Customer attributes (ex : date de naissance, autres attributs clients créés dans le contexte de votre projet comme sa tailles, ses activités,…)

    Vous avez la possibilité pour chaque attribut de préciser si la valeur est requise ou non :
    Attribut
    À noter : les attributs obligatoires pour Magento tels que le nom, le prénom, le mail, sont à « Oui » par défaut et ne peuvent pas être modifiés en BO.

  6. Gérer les droits de vos utilisateurs

    Magento vous permet de créer des rôles et des utilisateurs (rattachés à ces rôles).

    Cette gestion des rôles va permettre de définir pour un rôle donné (ex: service client) les éléments qui sont accessibles ou non aux utilisateurs associés à ce rôle.

    Il s’agit d’une configuration en BO dans Système permissions > User > Roles.
    Vous pourrez ici créer vos rôles et définir les droits pour chacun d’entre eux :
    Rôle
    Une fois ce travail de création des rôles réalisé, vous pourrez associer vos utilisateurs au rôle que vous souhaitez attribuer à chacun. Là encore, cela est possible via une simple configuration au niveau de l’utilisateur :
    System > Permissions > Users > Sélectionnez votre utilisateur > User Role

  7. Supprimer les comptes (ne répond que partiellement aux exigences RGPD)

    Magento 1 permet une suppression de compte client en BO. Pour cela il faut se rendre sur le compte client concerné depuis le BO Magento :
    Customers > Manage customers > Sélectionnez votre client > Delete Customer
    Suppression compte
    Cette fonctionnalité couvre en partie le besoin RGPD qui consiste à pouvoir supprimer les données personnelles d’un client si celui-ci le demande. Pourquoi parle-t-on ici de besoin couvert partiellement ?

    D’une part car certaines informations ne sont toutefois pas supprimées lors de la suppression de compte :

    → Les commandes
    → Factures
    → Abonnements newsletter
    → Invitations parrainage
    → …

    Les deux premiers points ne sont pas incompatibles avec le RGPD, ces éléments étant des pièces comptables.

    Il est en revanche nécessaire de supprimer les abonnements newsletter et les invitations parrainage.
    Pour contourner ce problème, il vous faudra donc aller manuellement vérifier si ce même client est abonné et supprimer son compte dans la foulée. Pour les invitations, le standard ne permet pas sa suppression, il faudra donc vous rapprocher de votre prestataire.

    D’autre part, parce qu’il y a généralement des connexions en place avec des outils tiers (ERP, CRM), il faut systématiquement répercuter les modifications dans ces outils. Ce qui implique une action manuelle ou la mise en place de développements spécifiques.

  8. Exporter les informations d’un client

    Avec l’entrée en vigueur du RGPD, il devient obligatoire d’être en mesure de fournir à un individu les informations personnelles le concernant et qui sont en votre possession.

    Magento dispose d’une fonctionnalité d’export, laquelle vous permet d’exporter au format CSV les données clients. Cette option est disponible en BO dans System > Import / Export > Export
    Il est nécessaire de sélectionner le type d’entité « Customers » , filtrer à l’aide de l’email du client (champ email), puis valider sur le bouton « continuer ».

    Par précaution, nous vous invitons à vérifier que l’ensemble de vos champs standards et custom sont présents dans cet export. En standard, vous retrouverez tous les champs de base : email, date de création du compte, les adresses, le genre…

    Ce fichier pourra alors être transmis à l’internaute qui en fait la demande sous forme de fichier csv lisible et interprétable.
    Export

Pour aller encore plus loin dans les données clients conservées dans Magento, voici un article qui vous présente l’architecture mise en place sur Magento 1.
Cet article vous a plu mais vous utilisez la plateforme Magento 2 ? Pas d’inquiétude, nous préparons un article dédié à Magento 2.

 


Auteures : Alexandra Molette, chef de projet E-commerce & Stéphanie Grégis, chef de projet E-commerce – Synolia

Twitter LinkedIn Facebook E-mail
Découvrez également...