Contactez-nous : 04 90 36 09 45

RGPD : quels impacts sur mon entreprise ou mon site e-commerce ?

Loi RGPD

Le RGPD, pour Règlement Général sur la Protection des Données, est une nouvelle règlementation applicable à tous les pays de l’Union Européenne, qui entrera en vigueur à partir du 25 mai 2018. Son objectif est de donner plus de visibilité et de contrôle aux utilisateurs sur les données personnelles qui sont exploitées par les entreprises. Cela oblige donc ces dernières à mettre en place des mesures pour prouver qu’elles en font bon usage et en toute sécurité.

Vous êtes concerné par cette réglementation si votre entreprise ou votre site e-commerce exploite des données personnelles. C’est certainement le cas, même si vous n’utilisez qu’une newsletter ou un blog où l’on peut créer son compte. Et si vous utilisez un CMS e-commerce, comme PrestaShop, WooCommerce ou Magento, il n’y a aucun doute. Et ne prenez pas le sujet à la légère : en cas d’infraction, l’amende pourra aller jusqu’à 20 millions d’euros d’amende, ou 4 % du chiffre d’affaires.

Pour vous aider, la CNIL met à votre disposition un guide pour vous informer sur les conséquences du RGPD. Et plus concrètement, nous vous donnons les 7 mesures à mettre en œuvre pour une mise en conformité avec le RGPD.

 

1) Désigner un délégué à la protection des données

D’après les recommandations de la CNIL, nommer un DPO, pour Data Privacy Officer, ou délégué à la protection des données, n’est pas obligatoire pour toutes les structures, mais cela reste conseillé. Il sera en quelque sorte votre gardien du temple : c’est lui qui garantira votre conformité aux règlements, sera le contact de la CNIL, ou de vos utilisateurs en cas de demande.

Attention cependant : le DPO ne peut pas appartenir à l’équipe dirigeante (si vous êtes seul, vous n’aurez pas trop le choix…). Mais vous pouvez externaliser cette fonction.

 

2) Demander le consentement explicite et fournir des informations aux utilisateurs

Plus que jamais, il sera impératif d’obtenir la permission des individus pour récolter leurs données personnelles, de façon claire. Par exemple, il sera interdit d’obtenir l’accord de l’utilisateur en pré-cochant une case dans un questionnaire. Revoyez donc l’ensemble de vos formulaires pour vous assurer que tout est explicite.

Par ailleurs, vous devez informer vos visiteurs quant au traitement de leurs données, au moment de la collecte, mais également sur une page de votre site. Précisez notamment les informations recueillies, la finalité, la durée de conservation, ou encore les modalités de modification ou de suppression.

 

3) Limiter la quantité de données recueillies

Avec le RGPD, vous allez devoir justifier le bien-fondé de chaque donnée personnelle que vous exploitez. Donc limitez votre récolte au strict nécessaire ! Ne vous dites pas « je vais prendre le numéro de téléphone, au cas où ». Encore une fois, vous pourrez avoir besoin de revoir vos formulaires. Par ailleurs, ne conservez ces données que le temps nécessaire à leur utilisation. Par exemple, ne gardez pas les coordonnées bancaires après l’achat.

 

4) Mettre à disposition des utilisateurs leurs données collectées

Vos clients ou visiteurs doivent avoir la possibilité d’accéder aux informations que vous possédez à leur sujet. Soit sous une forme lisible pour consultation, soit sous un format aisément réutilisable et lisible par machine (droit à la portabilité).

Par conséquent, mettez à leur disposition un formulaire où ils pourront vous envoyer leurs demandes. Et ne tardez pas trop à leur répondre : la CNIL recommande un délai maximum de deux semaines.

 

5) Optimiser la sécurité de son site

Évidemment, pour garantir la protection des données de vos utilisateurs, il est essentiel d’avoir un site sécurisé. Adoptez donc quelques bons réflexes. Si vous le pouvez, mettez en place un « HTTPS », en priorité sur les pages de recueil des données, pour sécuriser les échanges. Si vous avez recours à un CMS (WordPress, PrestaShop, Magento…), pensez à effectuer régulièrement les mises à jour. Enfin, sécurisez vos accès d’administration, en évitant par exemple des mots de passe tels que « admin », « 123456 »…

Et si malgré tout, vous êtes victime d’un piratage, vous êtes tenu d’avertir, dans un délai maximum de 72 heures, à la fois vos clients et la CNIL.

 

6) Travailler avec des acteurs en conformité avec le RGPD

Si vous faites appel à des sous-traitants pour certaines parties de votre activité, assurez-vous qu’ils respectent également le RGPD. N’hésitez pas à leur demander des preuves ou à inclure des clauses dans le contrat pour vous en assurer.

Pour vous aider à avoir une idée plus claire, la CNIL a énoncé quelques exemples de sous-traitants« les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données ».

À l'inverse, elle précise que ne seraient pas des sous-traitants, « dans la mesure où ils n’ont pas accès et ne traitent pas de données à caractère personnel, les éditeurs de logiciels ou les fabricants de matériels (badgeuse, matériel biométrique, matériel médical). »

 

7) Documenter sa gestion des données

Pour démontrer que vous êtes totalement en règle avec le RGPD, vous avez besoin de documenter votre processus d’exploitation des données personnelles. Conservez donc bien les preuves de consentement des utilisateurs, cartographiez précisément les informations, détaillez les mesures que vous avez prises pour sécuriser les données, mentionnez le nom de votre DPO… Votre mot d’ordre : la transparence.

© 2005 - 2018 Vaisonet - E-connecteur est une marque déposée par Vaisonet - Mentions légales - CGV - Recrutement