La mise en conformité RGPD : l’impact sur votre e-commerce

La mise en conformité RGPD : l’impact sur votre e-commerce

Après avoir étudié l’impact de la mise en conformité RGPD sur votre stratégie webmarketing, cap sur les conséquences de la RGPD sur votre site web ! La gestion d’un e-commerce nécessite forcément la collecte de données. Or, cet aspect va demander une prise de précautions toute particulière, conformément à la nouvelle règlementation qui entrera en vigueur le 25 mai prochain.

Les consultants e-commerce d’UpMyBiz, ainsi que nos partenaires de Vaadata, experts en hacking éthique, et d’Haas Avocats, cabinet spécialisé en protection des données, vous éclairent sur les changements à venir pour votre site marchand.

 

Règle n°1 de la RGPD : la transparence de l’information

Les internautes doivent savoir ce que vous faites de leurs données. La mise en conformité RGPD passe par cette transparence totale au sujet des informations récoltées.

Notre conseil : rédigez une page générale avec toutes les mentions d’informations obligatoires.

D’ailleurs, quelles sont les mentions à indiquer à vos visiteurs ?

  • Les acteurs: vous devez donner les coordonnées du responsable de traitement des données, des sous-traitants qui y auront accès et du DPO (Data Protection Officer).
  • Le traitement: il est obligatoire de mentionner la finalité de la récolte des données, leur durée de conservation et les conséquences de la non-collecte de certaines informations.
  • Les droits de la personne: indiquez les droits de vos visiteurs concernant leurs données, la procédure de demande de suppression ou de modification de leurs informations, ainsi que le processus pour effectuer une réclamation auprès de la CNIL.
  • Le transfert hors UE: si les informations collectées sur votre site e-commerce vont transiter hors de l’Union européenne, les internautes doivent le savoir. Ils sont en droit de connaître les pays qui disposeront de leurs coordonnées et le niveau de protection des données du pays destinataire.

 

Les conséquences de la RGPD sur la récolte de cookies

Informer les internautes que votre site internet s’appuie sur des cookies est déjà obligatoire. Cela ne va pas changer avec la nouvelle règlementation. Si vous n’êtes pas encore en conformité avec cette règle, alors c’est le moment ou jamais de vous y mettre. Le cas échéant, vous risquez des sanctions.

 

Les obligations d’information sur les cookies

À l’entrée sur votre site, un bandeau signalant la finalité des cookies est obligatoire. Une option de consentement est indispensable si ces traceurs servent à faire du monitoring ou à mener des campagnes marketing.

Dans tous les cas, votre e-commerce doit comprendre une politique de confidentialité des données et charte des cookies visibles, claires et compréhensibles. Enfin, chaque visiteur doit pouvoir accepter ou refuser l’utilisation des cookies pour analyser plus en profondeur ses centres d’intérêts ou comportement d’achat.

La durée de conservation des cookies

Selon la finalité des traceurs, vous pourrez les archiver entre 13 mois et 3 ans. Voici les règles à suivre :

  • Les informations liées aux statistiques de mesure d’audience peuvent être conservées jusqu’à 13 mois.
  • Les données relatives à la gestion de clients sont conservées durant la période nécessaires à la bonne gestion de la relation commerciale. Par la suite, elles peuvent être conservées jusqu’à 3 ans après la fin de la relation commerciale.
  • Exception : l’archivage des données de preuves (preuve d’un droit, d’un contrat ou d’une obligation légale).
  • Les données relatives aux non-clients : la durée de conservation est de 3 ans maximum après le dernier contact (qui peut être le 1er aussi). Au terme des 3 ans, le consentement doit être renouvelé.

 

Les obligations concernant le traitement et le stockage des données

Avis aux e-commerces de plus de 250 salariés ! Dès la mise en vigueur du RGPD, vous devrez tenir un registre des données personnelles récoltées, tout en vous assurant que leur traitement respecte bien les nouvelles dispositions légales.

Ce document interne, élaboré par votre DPO (Data Protection Officer), doit mentionner :

  • Le nom et les coordonnées du responsable du traitement des données.
  • Les finalités dudit traitement (relation commerciale, gestion RH…).
  • Le type de données personnelles traitées (nom, adresse postale, email, genre, âge…)
  • Les catégories de personnes concernées (clients, salariés, candidats).
  • Les personnes, internes ou externes, amenées à gérer ces données.
  • Le parcours des flux de données en cas de transferts hors de l’Union européenne.
  • Les délais prévus pour l’effacement des données.
  • Une description des mesures de sécurité techniques et organisationnelles prises pour en assurer leur protection.

Pour une mise en conformité RGPD efficace, appuyez-vous sur les modèles proposés par la CNIL.

La sécurité au cœur de la protection des données

La sécurité est érigée au rang de « principe essentiel » dans le RGPD. Le traitement de l’information doit présenter des garanties de sécurité élevée.

Pour notre partenaire Vaadata, les données sont le nouveau pétrole ! Ces informations valent de l’or et font donc régulièrement l’objet de cyberattaque.

Pour une mise en conformité RGPD correcte, votre e-commerce va devoir adopter une approche « Privacy By Design ». Dès la conception du site internet, toutes les mesures de sécurité doivent être prises. Surtout si vous utilisez un CMS (WordPress, Prestashop, Magento…). Ces outils, bien que très pratiques, sont très vulnérables aux attaques, notamment si vous oubliez de mettre à jour vos thèmes et extensions.

Néanmoins, les sites codés « à la main » peuvent aussi présenter des failles de sécurité conduisant à des injections de code ou un forçage de l’authentification.

Peu importe la technologie utilisée, votre devoir reste de prévoir un haut niveau de sécurité grâce à des techniques organisationnelles adaptées aux risques :

  • Élaborer un référentiel sécurité
  • Mener des tests d’intrusion
  • Sensibiliser et former son personnel
  • Sécuriser les contrats avec les sous-traitants : leur faire signer des accords de confidentialité, présenter des garanties quant à l’utilisation des données personnelles…
  • Sécuriser les locaux et les postes de travail : attention à ne pas installer n’importe quel logiciel, à brancher des périphériques personnels…
  • Sécuriser le réseau local
  • Faire des sauvegardes régulières du e-commerce
  • Nommer un RSSI (Responsable de la Sécurité des Systèmes d’Information)

Toute faille de sécurité qui conduit à la violation de données à caractère personnel doit être notifiée à la CNIL et communiquée aux personnes concernées.

S’inscrire dès maintenant dans une démarche de mise en conformité RGPD

N’attendez pas le mois de mai pour faire face aux conséquences de la RGPD sur votre site web. La mise aux normes est assez conséquente, surtout si vous gérez une entreprise de plus de 250 salariés. Parmi les nouvelles obligations visant à renforcer la sécurité des données, vous trouverez la mise en place de PIA (Privacy Impact Assessment).

Ces documents internes ont pour objectif d’accompagner les responsables du traitement de l’information. Ces catalogues de bonnes pratiques vous aident à élaborer des procédés de récolte respectueux de la vie privée et cohérent avec la mise en conformité RGPD.

La CNIL propose un logiciel pour vous mettre le pied à l’étrier. Cependant, il faudra personnaliser vos PIA pour correspondre à votre activité, mais aussi aux types de données que vous recueillez.

La nomination d’un DPO est obligatoire également, pour mettre en œuvre toutes ces nouvelles règles. Il a pour rôle de :

  • Contrôler l’application du RGPD
  • Informer et conseiller les responsables de traitement de l’information
  • Coopérer avec les autorités de contrôle

Un DPO ne peut pas être membre de l’équipe dirigeante. Vous pouvez choisir parmi vos salariés ou externaliser cette fonction. Notre conseil e-commerce : choisissez cette 2e option.

Faire le choix d’un DPO externe, formé et expert, vous permet de monter en compétence, tout en vous assurant une bonne mise en conformité RGPD. Il pourra sensibiliser votre équipe dirigeante, ainsi que vos collaborateurs chargés de traiter les informations clients, à l’importance de la protection des données, les bonnes pratiques à mettre en œuvre pour sécuriser vos sites et formulaires…

 

L’arrivée imminente de la nouvelle Règlementation Générale sur la Protection des Données doit être anticipée dès maintenant. Pour une transition en douceur, qui respecte parfaitement la mise en conformité RGPD, nous vous conseillons vivement de vous faire accompagner par des professionnels du traitement des données.

Si vous le souhaitez, l’équipe d’UpMyBiz est à votre disposition pour vous aider à passer ce cap dans les règles de l’art. Contactez-nous !  

Recevez 3 articles E-Business par mois

in Praesent eget leo. fringilla consequat. dictum