Outre la politique de confidentialité, vous devrez respecter d’autres principes pour rester conforme au RGPD. Ils concernent les contenus suivants :
Formulaires
Chiffrement du site web
Marketing par e-mail
Cookies
Plugins réseaux sociaux
Formulaires
Les sites marchands comportent souvent différents formulaires qui transmettent des données clients, par exemple lors d’une commande ou d’une inscription à une newsletter. Le RGPD impose de respecter deux principes fondamentaux :
Minimisation des données : en tant que commerçant électronique, vous ne pouvez collecter que les données strictement nécessaires à l'exécution de la commande. Prenons un exemple concret : lors de la passation d'une commande, seuls le nom et l'adresse peuvent être demandés au client pour finaliser une commande en ligne. En revanche, si le client souhaite recevoir une lettre d'information par e-mail, vous ne pourrez pas lui demander d'indiquer son adresse postale ou son numéro de téléphone.
Confidentialité : toute transmission de données doit s’effectuer de manière cryptée. En tant qu’e-commerçant, vous êtes donc tenu de protéger les données personnelles de vos clients contre tout traitement non autorisé ou illicite.
Chiffrement du site web
Conformément à l’article 32, alinéa 1, point a) du RGPD, les e-commerçants sont tenus de garantir une transmission des données chiffrée. À cet égard, il est recommandé de sécuriser votre site de vente en ligne par un protocole de communication HTTPS. Grâce au certificat SSL, vous garantissez …
... authentification des partenaires de communication à l'aide d'une clé de cryptage asymétrique.
... la transmission confidentielle de données de bout en bout à l'aide d'une clé de cryptage asymétrique.
... l'intégrité des données transportées.
Pour savoir comment obtenir un certificat SSL et quelles sont les normes de sécurité à respecter, lisez notre article complet sur la sécurité d’un site e-commerce.
Marketing par e-mail
Depuis l’entrée en vigueur du RGPD, les boutiques en ligne sont obligées de mettre en place une procédure dite du « double opt-in » concernant le consentement au traitement des données (par exemple pour s’inscrire à une newsletter). Concrètement, lorsqu’un utilisateur se trouve sur votre site et est intéressé par une information ou une offre publicitaire, il doit dans un premier temps consentir à donner son adresse de contact, par exemple en cochant une case. Votre site lui envoie dans un second temps un lien de confirmation par e-mail qu’il devra suivre pour confirmer sa demande. L’internaute consent ainsi une deuxième fois à recevoir des offres de votre part à l’avenir : c’est le double opt-in/consentement. Ce n’est qu’à partir de ce moment-là que vous pouvez envoyer des newsletters et d’autres contenus sur l’adresse qu’il aura renseignée. S’il ne clique pas sur le lien de confirmation, vous n’aurez alors le droit ni d’utiliser ni de stocker son adresse e-mail.
Cookies
En e-commerce, les cookies ou traceurs jouent également un rôle important dans la protection des données. De nombreuses boutiques en ligne utilisent les cookies dans le but d’améliorer leur ergonomie. Par exemple, elles stockent des informations afin que les utilisateurs n’aient pas à les saisir à nouveau lors de chaque visite, notamment :
les préférences linguistiques
le contenu du panier
les données de connexion
Dans ce domaine, une autre directive vient compléter le RGPD : il s’agit de la directive ePrivacy (directive 2009/136/CE). Celle-ci stipule que vous pouvez déposer des cookies sans le consentement préalable de l’utilisateur, à condition qu’ils soient strictement nécessaires pour faire fonctionner le site. Vous devez néanmoins mentionner explicitement leur utilisation à l’aide d’un bandeau cookies. Pour ce qui est des autres cookies non essentiels au fonctionnement de votre site marchand, vous devrez obtenir le consentement des clients.
Le tableau suivant fournit des exemples pour chaque catégorie de traceurs :
Plugins de réseaux sociaux
Auparavant, les fonctionnalités de partage sur les réseaux sociaux collectaient d’emblée les données des visiteurs. Depuis l’entrée en vigueur du RGPD, vous devez désormais vous assurer que les cookies de réseaux sociaux sont désactivés par défaut avant de les placer sur votre site e-commerce. S’il est intégré correctement, le bouton passif ne devient actif que lorsque l’utilisateur clique dessus. Dans ce cas, en cliquant sur ce bouton, l’utilisateur consent à transmettre ses données à la plateforme concernée. Ici, on part effectivement du principe que les utilisateurs ne cliqueront sur ce bouton que s’ils souhaitent réellement l’utiliser, par exemple pour partager le contenu de votre boutique en ligne.
Cette solution courante consiste à faire appel à des boutons Shariff , une extension de partage de réseaux sociaux. De manière similaire au processus de double consentement pour la newsletter, vous pouvez recourir à la solution du double cliquage pour obtenir le consentement des internautes pour utiliser la fonctionnalité réseaux sociaux. Les visiteurs cliquent d’abord sur l’icône du réseau social souhaité, puis vous recueillez leur consentement explicite afin de procéder au transfert de leurs données.
Le traitement par un sous-traitant
En tant qu’e-commerçant, vous collaborez avec de nombreux prestataires, parmi lesquels :
des prestataires de paiement
des prestataires SaaS
des services de cloud
Ces partenaires traitent eux aussi les données personnelles des clients des sites marchands. C’est pourquoi le RGPD impose l’élaboration d’un contrat relatif au traitement par des sous-traitants. Ce contrat est l’unique document qui établit la base juridique permettant de partager les données des clients avec des tiers. Si un tel contrat entraîne sans aucun doute une charge de travail supplémentaire, il a néanmoins le mérite de vous offrir une plus grande sécurité qu’auparavant. Ainsi, en cas de violation de la protection des données par l’un de vos sous-traitants, vous serez alors en mesure de prouver que la responsabilité lui incombait.