RGPD : Réponses aux questions les plus fréquentes

RGPD : Réponses aux questions les plus fréquentes

Le nouveau règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai 2018. 

Cela fait plusieurs mois que l’on peut lire des articles à propos des nouvelles réglementations, mais peu d’entre eux se concentrent sur la réglementation concernant l’e-commerce et il se peut que vous ayez encore des doutes.

Pour vous aider à vous préparer au mieux à l’entrée en vigueur du RGPD, nous avons pensé qu’il serait utile de publier un article rassemblant les questions qui nous ont été posées le plus fréquemment, avec les réponses correspondantes.

1. Dois-je apporter des modifications à la politique de confidentalité et aux cookies publiés dans ma boutique en ligne ?

La politique de confidentialité doit absolument être modifiée. Le RGPD définit de nouvelles obligations d'information pour votre boutique en ligne, parmi lesquelles se trouvent :

    1. La période de conservation des données personnelles ou, le cas échéant, les critères utilisés pour déterminer cette période
    2. Les utilisateurs bénéficient du droit à la portabilité des données (c'est-à-dire le droit de récupérer et transmettre leurs données personnelles)
    3. Les utilisateurs ont le droit de déposer plainte auprès d'une autorité de surveillance
    4. Les utilisateurs doivent pouvoir retirer leur consentemet à tout moment sans compromettre la légalité du traitement qui serait fondé sur le consentement avant ledit retrait
    5. La logique utilisée pour profiler les utilisateurs, ainsi que l'importance et les conséquences de ce traitement.

Le « profilage » signifie « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » (voir l'article 4, paragraphe I, numéro 4 du RGPD).

Dans le domaine de l'e-commerce, si vous envoyez des messages publicitaires personnalisés à vos clients sur votre site (par exemple, si vous envoyez des publicités pour promouvoir vos t-shirts colorés aux clients qui vous ont déjà acheté ce type d'article), alors vous « profilez » vos clients étant donné que vous les regroupez sur la base de certaines caractéristiques communes telles que : l'achat de t-shirts, les paniers abandonnés avec une promotions spécifique, le genre, entre autres.

Dans ce cas, vous devez indiquer dans la politique de confidentialité la logique qui sous-tend cette forme particulière de traitement des données personnelles. Par exemple, vous devez informer vos utilisateurs que la logique de profilage dépend des achats effectués précédemment dans votre boutique.

Informez vos utilisateurs que la logique de profilage dépend des achats effectués précédemment dans votre boutique.

Cependant, il n'est pas nécessaire de modifier la politique des cookies. Le RGPD ne s'occupe pas des cookies.

En résumé : oui, vous devez modifier votre politique de confidentialité.

2. En tant que propriétaire d'un site d'e-commerce, ai-je l'obligation de désigner l'agence web qui gère mon site comme processeur de données ?

Le « processeur de données » est une personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite les données à caractère personnel au nom du contôleur de données.

En ce qui concerne l'e-commerce, la personne physique ou morale qui traite les données personnelles au nom du contrôleur de données (le propriétaire de la boutique en ligne) est avant tout l'agence qui administre le site, le cas échéant.

En effet, l'agence web qui a créé le site d'e-commerce offre également au propriétaire du site le service de gestion de la plateforme et, par conséquent, traite les données personnelles des utilisateurs du site (par exemple : informations générales, adresse e-mail, adresse de livraison).

Dans ce cas, le propriétaire du site doit désigner, avec un contrat spécifique, l'agence web comme « processeur » conformément à l'article 28 du RGPD.

La nomination en tant que processeur doit être rédigée conformément aux dispositions de l'article 28 du RGPD qui établit notamment qu'avec la nomination, le responsable (dans ce ca, de l'agence web) s'engage à :

  1. Traiter les données personnelles des utilisateurs du site conformément aux instructions documentées du contrôleur de données (le propriétaire du site)
  2. Adopter les mesures de sécurité spécifiques prévues par l'article 32 du RGPD
  3. Supprimer ou renvoyer toutes les données personnelles des utilisateurs (au choix du propriétaire du site) à la fin du contrat de gestion du site web et s'engager à supprimer les copies existantes, sauf si la législation de l'Union ou des États membres prévoient la conservation des données
  4. Garantir que les personnes autorisées à traiter les données personnelles soient liées par une obligation de confidentialité.

En outre, la nomination en tant que processeur de données doit indiquer spécifiquement quelles données personnelles seront traitées par la personne ou l'entreprise responsable, ainsi que la durée et l'objet du traitement.

3. Quelles sont les sanctions encourues si je ne respecte pas le RGPD ?

Le non-respect des règles établies par le RGPD peut s'avérer très coûteux en termes d'amendes : jusqu'à 10 000 000 € ou, pour les entreprises, jusqu'à 4 % du chiffres d'affaires annuel total de l'année précédente, si celui-ci est plus élevé.

Il est évident que la sanction sera proportionnelle à certains facteurs, notamment la gravité et la durée de la violation.

Et ce n'est pas tout.

Le garant de la protection des données personnelles est titulaire de pouvoirs de corrections particulièrement invasifs qui prévoient, entre autres, la possibilité de restreindre ou d'interdire le traitement illégal.

Selon cette hypothèse, les conséquences économiques peuvent s'avérer encore plus graves que celles qui découlent d'une sanction administrative. L'impossibilité d'effectuer un traitement pourrait impliquer, par exemple, la suspension d'une prestation de service aux clients, avec les conséquences juridiques qui découlent de celle-ci.

En outre, les sanctions du garant sont rendues publiques et elles sont visibles sur le site web de celui-ci. Vous devez donc également prendre en compte les conséquences sur votre réputation dans le cas où des tiers auraient connaissance de vos sanctions.

avocate

4. Mon entreprise est basée aux États-Unis et je vends principalement à des clients américains par le biais de mon site (avec une extension « .us »). Cependant, mon site est traduit en français, en anglais et en italien et les utilisateurs qui parlent ces langues peuvent effectuer des achats sans problème. Dois-je me conformer au RGPD même si mon site n'est pas européen et qu'il s'adresse à une clientèle majoritairement américaine ?

L'article 3 du RGPD établit que le règlement s'applique aussi aux entreprises qui ne sont pas basées au sein de l'Union européenn, mais qui traitent des données à caractère personnel liées à l'offre de biens ou de services destinés à des utilisateurs résidant dans l'Union européenne.

Le RGPD nous aide à comprendre ce qu'on entend par « offre de biens et services », en précisant par exemple que l'utilisation d'une langue ou d'une devise utilisée dans un ou plusieurs États membres, avec la possibilité de commander des biens et services dans cette autre langue, peut mettre en évidence l'intention qu'a une entreprise d'offrir des biens ou services à des consommateurs résidant au sein de l'Union européenne.

Par conséquent, même si le site est administré par une entreprise hors Union européenne et possède une extension « .us », si les utilisateurs européens peuvent utiiser leur langue et leur devise pour commander des biens et des services, l'entreprise devra se conformer au RGPD. Ceci a pour objectif principal d'éviter que les utilisateurs européens ne se trouvent privés de la législation qui protège leur vie privée.

En résumé : oui, vous devez vous conformer aux nouvelles règles du RGPD même si votre site n'est pas basé dans l'Union européenne et qu'il s'adresse à une clientèle qui ne réside pas forcément dans l'Union européenne. 

5. Pourquoi devrais-je investir du temps et de l'argent pour que mon site soit conforme au RGPD si le risque de sanctions est quasi inexistant ? 

La première réponse à cette question est la suivante : la conformité au RGPD est une obligation légale qui, en tant que telle, doit être respectée.

Dans tous les cas, nous vous conseillons d'essayer de respecter les obligations du RGPD pour plusieurs raisons :

  1. Le garant de la vie privée effectue (toujours) des enquêtes par sondage efficaces qui, tous les six mois, sont traduites en rapports et requêtes. À la suite de ces enquêtes, le garant peut décider d'engager des procédures de sanctions indépendantes contre les sites qui ne respectent pas la législation sur la protection de la vie privée
  2. E-commerce signifie visibilité : il suffit qu'un utilisateur se plaigne de la violation de ses droits à la vie privée pour que le garant engage une procédure 
  3. La conformité au RGPD peut également représenter un avantage compétitif par rapport aux entreprises qui négligent la vie privée de leurs utilisateurs. Les entreprises qui prennent au sérieux la vie privée de leurs utilisateurs seront alors mieux vues (par exemple : politique de confidentialité du site écrite, absence de spamming, etc.)

En résumé : c'est la loi et il est essentiel de s'y conformer.

6. J'ai lu que l'une des nouveautés principales du règlement sur la protection des renseignements personnels est l'obligation de maintenir un « registre de traitements ». L'entreprise par le biais de laquelle j'administre ma boutique en ligne est toutefois relativement petite (10 employés) : dois-je quand même conserver un registre ? 

L'article 30 du RGPD stipule que chaque contrôleur de données doit maintenir « un registre des activités de traitement » effectuées sous sa responsabilité.

Ce registre doit contenir des informations importantes telles que :

  1. Le nom et les coordonnées du processeur de données
  2. L'objet du traitement
  3. Une description des catégories des sujets concernés et des catégories de données personnelles
  4. Les catégories de destinataires auxquels les données personnelles ont été communiquées, y compris les destinataires de pays tiers ou d'organismes internationaux.

L'obligation de maintenir un registre ne s'applique pas aux entreprises de moins de 250 salariés, sauf si :

  1. Le traitement effectué peut présenter un risque pour les droits et libertés de l'intéressé
  2. Le traitement n'est pas occasionnel ou comprend le traitement de données confidentielles (données révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'affiliation syndicale, les données génétiques, les données biométriques destinées à identifier sans équivoque une personne physique, les données liées à la santé, la vie sexuelle ou l'orientation sexuelle d'une personne)
  3. Les données personnelles sont liées à des condamnations pénales.

À l'exception des entreprises de plus de 250 salariés (qui, comme nous venons de le voir, sont obligées de maintenir un registre), dans la pratique, il est difficile de dériver de l'activité d'un site d'e-commerce un risque pour les droits et les libertés des utilisateurs, ou si un site d'e-commerce traite des données confidentielles (même s'il existe des exeptions : pensez aux sites qui vendent des médicaments en ligne), ou des données liées à des condamnations pénales.

Toutefois, cela ne signifie pas qu'un site d'e-commerce « classique » (avec moins de 250 salariés, qui ne traite pas de données confidentielles ou judiciaires dont l'activité ne présente aucun risque pour les droits et les libertés de l'intéressé) est exempté de l'obligation de maintenir un « registre de traitement ».

En effet, l'un des éléments clés du RGPD est le principe de « responsabilité » selon lequel le contrôleur doit établir (ainsi que réviser et mettre à jour) les mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que les opérations de traitement sont effectuées selon le nouveau cadre.

On peut raisonnablement supposer que la tenue d'un « registre » se situe parmi ces « mesures organisationnelles » pour indiquer le traitement des données personnelles effectué par le titulaire.

Le conseil pour tous les propriétaires de site d'e-commerce est donc le suivant : même si vous n'êtes pas obligé de conserver un registre dans le cadre de votre activité, mieux vaut vous préparer et garder à jour un document contenant toutes les informations mentionnées dans l'article 30 du RGPD (résumé ci-dessus).

Quelle est l'utilité d'une telle conformité ?

  • Vous serez toujours au courant de votre activité de traitement des données personnelles
  • Vous pouvez montrer à vos clients que votre entreprise est un opérateur « vertueux » dans le domaine de la confidentialité
  • Dans l'hypothèse où le garant de la vie privée vous soumet à un contrôle, il sera facile de prouver que votre entreprise s'est montrée respectueuse des obligations imposées par le règlement sur la protection des données personnelles.

Vous avez d'autres questions ? N'hésitez pas à nous contacter !

Remarque : cet article est uniquement présenté à titre informatif et ne constitue pas un conseil juridique ou professionnel. Veuillez prendre contact avec un avocat ou demander un avis juridique indépendant pour obtenir plus d'informations spécifiques liées à votre entreprise et à votre pays de résidence. Shopify n'accepte aucune responsabilité quant à l'utilisation de ces informations.

À propos de l'auteur

Lorenzo GrassanoLorenzo Grassano (lgrassano@cbmlaw.it) est membre du cabinet d'avocats CBM & Partners de Milan. Expert en droit de l'e-commerce et de la vie privée, Lorenzo assiste du point de vue juridique les entreprises et sites web émergents en Italie et à l'étranger. Depuis quelques années, il ne fait presque plus ses achats qu'en ligne.

 

 Traduction : Aleks Ignjatovic


Vous avez des questions à propos de Shopify ?
Envoyez un e-mail à l’adresse suivante et notre équipe d’assistance technique vous répondra en français dès que possible :
assistance@shopify.com

Démarrez votre essai gratuit de 14 jours dès aujourd’hui !