RGPD : qui est concerné et comment se mettre en conformité ?

Source d’inquiétude pour de nombreuses entreprises et e-commerçants, le RGPD est entrée en vigueur le 25 mai 2018.

Dès lors que vous gérez des paiements en ligne ou manipulez des données de résidents basés dans l’Union Européennes à des fins commerciales et marketing, vous faites parties des organisations concernées !

Pour mettre fin à vos préoccupations, on vous aide à y voir plus clair en vous donnant toutes les bonnes pratiques RGPD pour vous mettre en conformité.

Mais d’abord, commençons par les bases : le RGPD c’est quoi ?

RGPD : définition

Établi par le conseil de l’UE en avril 2016, le Règlement Général sur la Protection des Données (RGPD ou GDPR, pour General Data Protection Regulation en anglais) est la nouvelle loi de l’Union européenne sur la confidentialité des données.

Son entrée en vigueur a eu lieu le 25 mai 2018, date à laquelle elle a remplacé l’ancienne directive européenne sur la protection des données à caractère personnel datant de 1995.

Le RGPD est un texte de 88 pages définissant les règles que les organisations traitant des données doivent respecter en matière de collecte, de stockage, d’utilisation, de protection et de sécurisation.

Son objectif affiché est d’étendre les droits des citoyens européens vis-à-vis de leurs données personnelles, en renforçant leur protection et en leur donnant les moyens de gérer la manière dont elles sont utilisées par les entreprises.

Plus précisément, le RGPD donne aux personnes le droit d’accès, de correction, de suppression et de traitement strict de leurs données.

RGPD : qui est concerné ?

Il est légitime que vous vous posiez la question : le RGPD c’est pour qui ? Pour y répondre, voici trois choses à savoir.

1 – Activités commerciales dans l’UE

Même si votre entreprise n’est pas basée dans l’Union Européenne mais que vous y faites des affaires, vous devez vous mettre en conformité avec le RGPD.

Cette nouvelle réglementation concerne en effet toutes les entreprises de l’Union européenne, mais également tous ceux qui vendent des produits ou des services à des résidents Européens.

2 – Activités de traitement de données

Vous êtes concernés par le RGPD dès lors que vous collectez et/ou traitez des données personnelles.

Quelles données sont concernées par le RGPD ? N’importe quelle information client permettant d’identifier un individu. Photos, posts sur les réseaux sociaux, adresses IP, coordonnées bancaires et tous les numéros d’identification tels que le NIR : le RGPD s’applique à toutes les bases de données marketing, commerciales, publicité, RH, comptabilité…

Bref, si vous utilisez les données de vos clients à d’autres fins que de simplement remplir des commandes, alors vous êtes particulièrement concernés !

Rassurez-vous, vous n’êtes pas seul dans cette « galère ». Le RGPD ne s’applique pas seulement aux propriétaires de e-commerce, aux associations ou toutes autres organisations. Les outils, logiciels, CMS et réseaux sociaux tels que Google, Facebook, MailChimp ou encore Shopify, pour ne citer qu’eux, sont également concernés et doivent se mettre en conformité.

3 – TPE, PME, associations, grands comptes… tous dans le même bateau

Le RGPD affecte les entreprises privées ET publiques de toutes tailles ou secteurs.

Peu importe que vous comptiez un employé ou 10 000 : tant que vous gérez des données sur les citoyens Européens, le RGPD s’applique. Toutefois, les petits e-commerçants et TPE ne sont pas tenus de respecter les mêmes exigences qu’une grande entreprise ou un monstre du e-commerce.

Une entreprise du secteur de la santé, qui gère des données médicales considérées comme « sensibles » n’aura pas non plus les mêmes impératifs qu’une entreprise vendant des produits de beauté.

Toutefois, de nombreuses exigences du RGPD s’appliquent à l’intégralité des entreprises.

RGPD : bonnes pratiques pour la mise en conformité

[NDRL : notre meilleure recommandation est de consulter une agence spécialisée RGPD pour vous aider à vous mettre en conformité]

Obtenir le consentement du client

« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. »

Le RGPD impose aux organisations d’être claires dans la manière dont elles obtiennent le consentement des clients. Autrement dit, le consentement d’un individu à remettre ses données doit être explicitement accordé.

En ce sens, les cases préalablement cochées ne constituent pas une indication de consentement valide.

Les personnes concernées doivent aussi pouvoir retirer leur consentement facilement. Dans ce cas, ils doivent également pouvoir demander la suppression de leurs données.

Bonne pratiques pour obtenir le consentement du client :

• Effectuez une vérification complète des formulaires actuels et des avis de confidentialité de l’ensemble de votre site e-commerce. En particulier, vérifiez qu’ils sont faciles à comprendre. Vérifiez également que les informations obligatoires sont bien mentionnées.
• Vérifiez si des consentements supplémentaires devront être établis.
• Désactiver tous les opt-ins par défaut que vous avez en place.
• Assurez-vous que des consentements distincts sont en place pour des activités distinctes de traitement des données.
• Laissez la possibilité aux clients de retirer leur consentement facilement et de faire valoir leur droit à l’oubli, en leur permettant par exemple de facilement supprimer leur compte et d’effacer leurs données. Plutôt qu’un processus de suppression en ligne, vous pouvez rediriger vos clients vers votre service client, comme le fait Amazon :

Autoriser l’accès aux données

« Des modalités devraient être prévues pour faciliter à la personne concernée […] de demander et, le cas échéant, d’obtenir sans frais, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition. »

Le RGPD donne aux individus concernés le droit d’accéder simplement à toute information détenue sur eux et d’obtenir une copie de ces données dans un délai d’un mois.

Cela signifie que vous devez stocker les données que vous détenez de manière à ce qu’elles soient rapidement accessibles.

Bonnes pratiques pour autoriser l’accès aux données :

• Collectez uniquement les données dont vous avez besoin pour vous faciliter la tâche. Par exemple, si vous n’avez pas d’intérêt commercial ou marketing à demander à un client pour quelle entreprise il travaille, alors ne le faites pas.
• Rassemblez l’ensemble des données que vous détenez au même endroit et faites en sorte de pouvoir les récupérer dans un format structuré, lisible et téléchargeable pour pouvoir les envoyer facilement.
• Assurez-vous de maîtriser les informations que vous détenez, en effectuant une cartographie complète de vos données et en les consignant dans un registre de traitement des données. La CNIL met à votre disposition des modèles de registres à télécharger ici : cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles.
• Mettez en place un formulaire de contact pour que les gens qui le souhaitent puissent faire une demande d’accès aux données qui les concerne.
• Soyez en mesure de répondre à d’éventuelles demandes d’accès aux données, en rédigeant un modèle d’e-mail type par exemple.

Mise en oeuvre de la confidentialité

« Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées. »

En tant qu’entreprise ou e-commerce, vous collectez des informations sensibles : numéros de cartes bleues, localisation, adresses e-mail…

Depuis la mise en application du RGPD, vous devrez être explicite sur ce qu’il advient de ces données. Où vont-elles ? Par qui vont-elles être utilisées ? Qui est responsable de leur stockage et de leur traitement ?

Vous devez prouver que la sécurité des données est assurée par l’ensemble des services de votre entreprise : service marketing, informatique, communication, etc.

Bonnes pratiques pour la confidentialité :

• Partagez des informations en interne sur les processus de sécurité pour vous assurer que votre équipe et votre chaîne d’approvisionnement sont à l’aise et en conformité avec le RGPD.
• Prévoyez une clause de confidentialité dans les contrats que vous passez avec vos sous-traitants. Pour vous aider, la CNIL met à votre disposition plusieurs exemples de clauses.
• Nommez un DPO (Délégué à la Protection des Données), si vous faites partie des entreprises dont c’est l’obligation (organisme public, organisation avec des activités de surveillance à grande échelle et organisation traitant des données dites « sensibles »).
• Prenez les mesures de sécurité nécessaires en mettant en place les précautions élémentaires réunies par la CNIL dans ce guide.

Découvrez aussi comment protéger votre entreprise et e-commerce d’une cyberattaque

Transparence des données

« Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. »

Le RGPD met l’accent sur la transparence des données.

Vous devez donc vous assurer que les informations que vous fournissez sont claires et facilement compréhensibles, et que les individus peuvent aisément faire valoir leurs droits par rapport à leurs données personnelles.

Bonnes pratiques pour la transparence des données :

• Prévoyez des « mentions d’information » informant les personnes de la finalité des différentes données collectées. Pour vous aider, la CNIL propose un générateur de mentions pour différents secteurs d’activité (marketing, banque et assurance, santé, immobilier, etc.).
• Dans le cadre d’un e-commerce, soyez très clair sur la façon dont vous utiliserez les données récoltées, à la fois dans vos termes et conditions, et dans votre politique de confidentialité.
• Linkez vos conditions générales de vente (CGV), ainsi que votre politique de confidentialité, dans le footer de votre site web.

Consultez aussi notre article de conseils pour la rédaction de vos CGV

• Si vous avez des cases à cocher du type « Utilisation des données par des tiers » sur votre site web, listez spécifiquement les « tiers » pouvant avoir accès aux données.
• Si vous avez des processus certifiés ou vérifiés, n’hésitez pas à les mentionner sur votre site e-commerce, comme le fait Zalando :

Notification de violation de données

« Dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, il convient qu’il le notifie à l’autorité de contrôle dans les meilleurs délais. »

Avec le RGPD, vous êtes tenu de signaler toute violation de données à la CNIL dans un délai de 72 heures suivant sa découverte et être en mesure de démontrer vos procédures de sécurité et de confidentialité des données très rapidement.

La personne concernée doit également être avertie dans le cas où la violation engendrerait des risques élevés pour ses droits et libertés.

Bonnes pratiques pour la notification de violation de données :

• Assurez-vous que vous avez des procédures en place dans le cas où vous seriez victime d’une violation de données.

RGPD : quelles sanctions si vous ne vous conformez pas ?

Toute entreprise jugée en infraction des nouvelles directives du RGPD peut se voir infliger une amende administrative pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros – le montant le plus élevé étant retenu. Mais il faudrait une violation grave du règlement pour une telle sanction financière. Ce type d’amendes sera donc un dernier recours.

Pour autant, cela ne signifie pas qu’il n’y a pas de répercussions en cas de non-respect du RGPD. À l’aide de rappels à l’ordre et d’avertissements publics, les autorités de contrôle exigeront que les organisations non-conformes prennent les mesures nécessaires pour se mettre en conformité.

Pensez aussi à l’atteinte à votre réputation que pourrait engendrer une violation de données. En outre, les personnes concernées ont le droit d’intenter des poursuites et de réclamer une indemnisation en cas de violation de données.

En conclusion, servez-vous du RGPD comme d’un guide sur la façon dont vous devez collecter, gérer et stocker les données personnelles de vos clients ! Au-delà de la charge de travail que la mise en conformité peut nécessiter, pensez aussi à l’opportunité qu’il représente de donner à vos clients une plus grande confiance et une meilleure expérience d’achat.

Pour aller plus loin, vous pouvez consulter ces ressources RGPD :

• Guide de la CNIL pour se préparer au RGPD : www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes.
• PDF du texte officiel RGPD .
• Vidéo du youtubeur Cookie réalisée en collaboration avec la CNIL pour répondre aux questions sur l’arrivée du RGPD :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.