Contactez-nous : 04 90 36 09 45

L’impact du RGPD sur les sites e-commerce : comment intégrer ces contraintes pour mon entreprise et en faire une opportunité !

Loi RGPD

Le RGPD (Règlement Général sur la Protection des Données) est une nouvelle règlementation applicable à tous les pays de l’Union Européenne, qui entrera en vigueur à partir du 25 mai 2018. Elle va impacter l’ensemble des entreprises en les obligeant à repenser leur approche des données personnelles. Il serait dommage de ne pas profiter de cette occasion pour mieux gérer les données de vos clients et prospects … Tour d’horizon des éléments clés de la nouvelle loi.

L’impact du RGPD sur les sites e-commerce et les entreprises en général… comment ça marche ?

L’objectif du RGPD est de donner plus de visibilité et de contrôle aux utilisateurs sur les données personnelles qui sont exploitées par les entreprises. Cela oblige donc ces dernières à mettre en place des mesures pour prouver qu’elles en font bon usage et en toute sécurité.

Vous êtes concerné par cette réglementation si votre entreprise ou votre site e-commerce exploite des données personnelles. C’est certainement le cas, même si vous n’utilisez qu’une newsletter ou un blog où l’on peut créer son compte. Et si vous utilisez un CMS e-commerce, comme PrestaShop, WooCommerce ou Magento, il n’y a aucun doute. Le RGPD va avoir un impact sur les sites e-commerce et il ne s’agit pas de prendre le sujet à la légère !  En cas d’infraction, l’amende pourra aller jusqu’à 20 millions d’euros d’amende, ou 4 % du chiffre d’affaires.

Pour vous aider, la CNIL met à votre disposition un guide pour vous informer sur les conséquences du RGPD. Et plus concrètement, nous vous donnons les 7 mesures à mettre en œuvre pour une mise en conformité avec le RGPD.

 

1) Demander le consentement explicite et fournir des informations aux utilisateurs

Plus que jamais, la règle n°1 sera d’obtenir (réellement) la permission des individus pour récolter leurs données personnelles, de façon claire. Par exemple, il sera interdit d’obtenir l’accord de l’utilisateur en pré-cochant une case dans un questionnaire. Revoyez donc l’ensemble de vos formulaires pour vous assurer que tout est explicite.

Par ailleurs, vous devez informer vos visiteurs du traitement qui sera fait de leurs données, au moment de la collecte, mais également sur les pages de votre site. Précisez notamment les informations recueillies, la finalité, la durée de conservation, ou encore les modalités de modification ou de suppression.

2) Limiter la quantité de données recueillies

Avec le RGPD, vous allez devoir justifier le bien-fondé de chaque donnée personnelle que vous exploitez. Donc limitez votre récolte au strict nécessaire afin de limiter l’impact du RGPD sur les sites e-commerce de votre entreprise !

Ne vous dites pas « je vais prendre le numéro de téléphone, au cas où »…

Encore une fois, vous pourrez avoir besoin de revoir vos formulaires. Par ailleurs, ne conservez ces données que le temps nécessaire à leur utilisation. Par exemple, ne gardez pas les coordonnées bancaires après l’achat.

3) Mettre à disposition des utilisateurs leurs données collectées

Vos clients ou visiteurs doivent avoir la possibilité d’accéder aux informations que vous possédez à leur sujet. Soit sous une forme lisible pour consultation, soit sous un format aisément réutilisable et lisible par machine (droit à la portabilité).

Par conséquent, mettez à leur disposition un formulaire où ils pourront vous envoyer leurs demandes. Et ne tardez pas trop à leur répondre : la CNIL recommande un délai maximum de deux semaines.

4) Optimiser la sécurité de son site

Évidemment, pour garantir la protection des données de vos utilisateurs, il est essentiel d’avoir un site sécurisé. Adoptez donc quelques bons réflexes. Si vous le pouvez, mettez en place un « HTTPS », en priorité sur les pages de recueil des données, pour sécuriser les échanges. Si vous avez recours à un CMS (WordPress, PrestaShop, Magento…), pensez à effectuer régulièrement les mises à jour. Enfin, sécurisez vos accès d’administration, en évitant par exemple des mots de passe tels que « admin », « 123456 »…

Et si malgré tout, vous êtes victime d’un piratage, vous êtes tenu d’avertir, dans un délai maximum de 72 heures, à la fois vos clients et la CNIL.

5) Travailler avec des acteurs en conformité avec le RGPD

Si vous faites appel à des sous-traitants pour certaines parties de votre activité, assurez-vous qu’ils respectent également le RGPD. N’hésitez pas à leur demander des preuves ou à inclure des clauses dans le contrat pour vous en assurer.

Pour vous aider à avoir une idée plus claire, la CNIL a énoncé quelques exemples de sous-traitants« les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données ».

À l'inverse, elle précise que ne seraient pas des sous-traitants, « dans la mesure où ils n’ont pas accès et ne traitent pas de données à caractère personnel, les éditeurs de logiciels ou les fabricants de matériels (badgeuse, matériel biométrique, matériel médical). »

6) Désigner un délégué à la protection des données

D’après les recommandations de la CNIL, nommer un DPO (Data Privacy Officer) ou délégué à la protection des données, n’est pas obligatoire pour toutes les structures, mais cela reste conseillé. Il sera en quelque sorte votre gardien du temple : c’est lui qui garantira votre conformité aux règlements, sera le contact de la CNIL ou de vos utilisateurs en cas de demande.

Attention cependant : le DPO ne peut pas appartenir à l’équipe dirigeante (si vous êtes seul, vous n’aurez pas trop le choix…). Mais vous pouvez externaliser cette fonction.

7) Documenter sa gestion des données

Pour démontrer que vous êtes totalement en règle avec le RGPD, vous avez besoin de documenter votre processus d’exploitation des données personnelles. Conservez donc bien les preuves de consentement des utilisateurs, cartographiez précisément les informations, détaillez les mesures que vous avez prises pour sécuriser les données, mentionnez le nom de votre DPO… Votre mot d’ordre : la transparence.

La solution: Centraliser pour mieux piloter le RGPD: la solution e-connecteur de Vaisonet

Pour conclure, il est impératif de garder en tête que le RGPD est avant tout un outil qui nécessite de pouvoir tracer les données et leur histoire à travers votre système d’information. C’est pourquoi une solution telle que l’E-connecteur de Vaisonet qui permet de centraliser les données en provenance de l’ERP et des sites e-commerce. Cela facilite  la gestion des données tout en en assurant la traçabilité.

Pour en savoir plus , visitez notre page dédiée à notre e-connecteur

ou contactez-nous !

 

© 2005 - 2019 Vaisonet - E-connecteur est une marque déposée par Vaisonet - Mentions légales - CGV - Recrutement - Nos partenaires