Le 1er avril 2021, la CNIL débutera ses contrôles pour s’assurer de la conformité des sites internet avec le Règlement Général sur la Protection des Données (RGPD) et ses recommandations sur l’utilisation des cookies et autres traceurs.
📣 Il est donc grand temps pour les commerçants de se mettre en conformité avec cette réglementation.
ROBIN décrypte pour vous les grands principes assurant la protection des données qui doivent être impérativement suivis lors de la vente en ligne. 🔍
👥 Concrètement, les données personnelles sont toutes les données relatives à une personne identifiée ou identifiable. Il s’agit des données permettant à la fois l’identification directe de la personne (nom et prénom) et l’identification indirecte (numéro client, numéro de téléphone, adresse).
Les e-commerçants doivent assurer la protection des données personnelles collectées auprès de leur clientèle durant les 3 principales étapes de la vente en ligne.
📍 Pendant la phase de prospection :
Les e-commerçants ont, aujourd’hui, tout intérêt à se donner de la visibilité sur internet et à se faire connaître des consommateurs. Très fréquemment, les commerçants ont recours à la newsletter et autres prospections par mail pour stimuler leurs ventes. 📧
Ces prospections doivent être faites en conformité avec la protection des données :
💡 A savoir, la CNIL considère que l’utilisation d’une case pré-cochée pour recueillir l’accord du client est illégale.
📍 Pendant la phase de visite du site et de création du compte client :
💡 A savoir, l’ouverture d’un site d’e-commerce ne doit plus faire l’objet d’une déclaration auprès de la CNIL depuis l’entrée en vigueur du RGPD.
L’éditeur du site d’e-commerce, c’est-à-dire le commerçant, doit impérativement respecter plusieurs règles :
👉 Déterminer les finalités précises de la collecte des données.
Le commerçant doit spécifier dans quel but il collecte les données de ses clients. Ce peut être notamment pour assurer la création d’un compte client, le paiement, la livraison, l’envoi de newsletter.
👉 Fixer une durée de conservation des données personnelles.
En effet, il est interdit de les stocker pour une durée indéterminée. Le commerçant peut seulement conserver ces données pendant une durée strictement nécessaire pour remplir la finalité préalablement déterminée. ⏳
👉 Remplir un registre de traitement.
Ce registre doit récapituler les modalités de la collecte des données comme le type de données collectés, les finalités de la collecte, la durée de conservation. Toutes les entreprises, quelle que soit leur taille ou leur secteur d'activité, doivent tenir ce registre. En cas de contrôle, la CNIL peut demander que ce registre lui soit communiqué. 📌
📣 A savoir, la CNIL a publié un modèle simplifié, utilisable par tous.
👉 Mettre à jour régulièrement le registre et informer les clients des évolutions.
Il est important de retranscrire tout changement dans les données collectées et/ou des finalités de cette collecte. 📝
👉 Informer ses clients de leurs droits.
Les utilisateurs doivent avoir connaissance qu’ils ont un droit d'accès, de modification et de suppression des données collectées.
Afin d’assurer un suivi de la conformité, il est fortement conseillé aux e-commerçants de nommer un Délégué à la protection des données (DPO). Ce délégué doit avoir des connaissances particulières en matière de données personnelles, des moyens suffisants pour agir (temps, moyens matériels, accès) et ne pas être en situation de conflit d’intérêt avec une autre fonction dans l’entreprise.
💡 A savoir, tout site d’e-commerce doit donner la possibilité à ses visiteurs de refuser l’activation des divers cookies et traceurs non nécessaires au fonctionnement du site. On appelle traceurs, les fichiers sauvegardant l’activité des visiteurs notamment à des fins de statistiques ou de publicité ciblée.
La poursuite de la navigation par l’internaute ne vaut plus acceptation de ces traceurs. ❌
🔎 La CNIL donne un exemple de bandeau à afficher dès l’ouverture du site par le visiteur.
Pour toutes autres questions sur les traceurs, vous pouvez consulter cette FAQ publiée par la CNIL.
📍 Pendant la phase de paiement en ligne :
Pour permettre le paiement par le client, le commerçant doit nécessairement collecter :
Si le commerçant souhaite conserver les données bancaires de ses clients afin de faciliter leurs prochains achats, il est obligatoire qu’il recueille l’accord de ses clients. Dans ce cas, le client doit également avoir la possibilité de retirer son accord, à tout moment et sans frais, selon une recommandation de la CNIL.
📣 Par exemple, l’accord peut prendre la forme d’une case à cocher au moment de la collecte des données bancaires.
Dans tous les cas, il est strictement interdit de conserver le cryptogramme visuel une fois le paiement réalisé.
Il est interdit de demander à ses clients de transmettre une copie de leur carte bancaire, peu importe que des éléments soient masqués. 🚫
Lors du stockage des données bancaires, la CNIL recommande de mettre en place les mesures de sécurité suivantes :
⚠️ En cas de violation de données, risquant de porter atteinte à la vie privée, il est impératif de prévenir les clients concernés de cette violation et la CNIL dans un délai de 72 heures en utilisant ce service.
L'interlocuteur rassurant qui anticipe les problèmes juridiques des entrepreneurs
À l'aide d'une plateforme dédiée numérique et téléphone, disponible 7 jours sur 7, posez votre question avec vos mots, nous vous offrons 20 minutes au téléphone avec un avocat expert pour vous répondre
Pour poser votre première question juridique à ROBIN ou prendre contact avec l'équipe, prenez rendez-vous avec nous.