Politique de protection des données : comment mettre son site e-commerce en conformité avec le RGPD
En tant qu’e-commerçant, la loi vous contraint à mettre en œuvre une politique de confidentialité des données. Mais il n’est pas toujours évident de savoir quelles informations vous devez y faire figurer. Dans cet article, nous faisons le point sur les aspects à prendre en compte lorsque vous rédigez une politique de confidentialité et sur les exigences du RGPD à respecter en tant qu’e-commerçant.
Que signifie la politique de confidentialité pour une boutique en ligne ?
Tout site web qui recueille des données personnelles doit fournir une politique de protection des données. Ce document vise à informer les visiteurs de votre site sur la nature, l’étendue et les finalités de votre traitement des données. En outre, vous devez également leur préciser comment vos utilisateurs peuvent annuler l’autorisation qu’ils ont accordée concernant le stockage de leurs données.
Si votre politique de protection des données est incorrecte ou incomplète, vous risquez un avertissement de la part des autorités de contrôle. C’est le Règlement général sur la protection des données (RGPD) qui instaure les bases légales à la politique de confidentialité.
Qu’est-ce que le RGPD ?
En 2016, le Parlement européen a adopté le Règlement général de l’UE sur la protection des données. Durant une phase de transition de deux ans qui a pris fin le 25 mai 2018, les e-commerçants ont dû procéder à un certain nombre de changements dans leur boutique en ligne, notamment dans les domaines suivants :
- la collecte de données
- les obligations de renseigner
- l’envoi de newsletters
- le traitement par les sous-traitants
Son objectif ? L’harmonisation de la protection des données en ligne au sein de tous les États membres de l’UE. Il ne profite pas uniquement aux acheteurs, mais aussi aux e-commerçants. Le RGPD a, par exemple, mis en place le principe du « guichet unique » qui simplifie les échanges internationaux du commerce électronique. Ainsi, si votre site de vente en ligne effectue des traitements de données transfrontaliers, vous communiquerez désormais avec une seule et unique autorité « chef de file », et non plus avec plusieurs comités de protection des données en parallèle comme auparavant.
Pourquoi la politique de confidentialité est-elle importante pour les e-commerçants ?
Toute boutique en ligne collecte des données, et pas uniquement dans le cadre d’un processus d’achat. Les outils de tracking (traçage), les plugins des réseaux sociaux et les cookies recueillent eux aussi des informations sur les visiteurs de votre site. Afin de garantir une gestion des données responsable et sans usage abusif, vous devez en tant qu’e-commerçant disposer d’une politique de confidentialité, tout comme de mentions légales. Sinon, vous encourez un avertissement et de fortes amendes.
Par ailleurs, la politique de confidentialité dans le commerce en ligne s’avère essentielle pour gagner la confiance de vos clients potentiels. En effet, les consommateurs souhaitent savoir quelles données les concernant sont collectées et si leurs informations sont protégées à cet égard. Ce n’est que s’ils jugent qu’un site web mérite leur confiance qu’ils seront prêts à y faire leurs achats. Outre des modes de paiement sécurisés, une politique de confidentialité complète et des mentions légales font partie des mesures phares favorisant la confiance des consommateurs.
Comment mettre en place une politique de protection des données conforme ?
Le RGPD exige que les boutiques en ligne disposent d’une politique de confidentialité qui fournit une information :
- concise
- transparente
- compréhensible
- aisément accessible
Par conséquent, votre priorité est de veiller à ce que votre politique de confidentialité soit publique et accessible depuis chaque page de votre site. Ainsi, vos clients auront toujours la possibilité de consulter les informations générales relatives à la protection de leurs données, même au cours de leur processus d’achat. De plus, vous devrez formuler le contenu de telle manière qu’il soit compréhensible de tous. En règle générale, la politique de protection des données d’une boutique en ligne inclut les quatre domaines suivants :
1. Responsables et contact
La politique de confidentialité sur un site de vente en ligne débute souvent par des informations relatives au responsable du traitement. Conformément à l’article 13, alinéa 1, points a) et b) du RGPD, vous êtes en tant qu’e-commerçant tenu de fournir l’identité des personnes de contact suivantes :
- le responsable de la collecte des données
- ou son représentant
- ou le responsable de la protection des données
2. Données personnelles
Dans un second temps, une politique de protection des données définit souvent ce que le site entend par données personnelles. Le RGPD n’impose pas de fournir cette information, celle-ci peut faciliter néanmoins la compréhension des clients.
It is therefore important to clarify…
- … what type of data you collect and process.
- … where the data collection takes place.
- … the purpose of data collection.
- … which entity receives the data.
- …how long they will be stored.
3. Bases légales
Toute collecte des données doit se fonder sur les bases légales prévues par le RGPD. En règle générale, vous devrez ici faire référence à un article précis du RGPD. Il est par exemple d’usage de recourir au point f) du premier alinéa de l’article 6 comme base légale : « Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers […] ». Par ailleurs, vous devrez également y mentionner les intérêts légitimes. Prenons l’exemple de la collecte des adresses IP. Dans le tableau suivant, vous trouverez les bases légales ainsi que les raisons légitimes dans ce cas de figure :
| Données personnelles | Adresse IP |
| Moment de la collecte | Durant l’établissement de la connexion |
| Bases légales | Article 6, alinéa 1, point e) du RGPD |
| Finalité et raison légitime | Mettre notre site web à votre disposition |
4. Droits des personnes concernées
Le RGPD impose aux boutiques en ligne d’informer leurs visiteurs de leurs droits. Parmi ces droits, on retrouve :
| Article RGPD | Type de droits des personnes concernées | Explication |
|---|---|---|
| 15 | Droit d’accès de la personne concernée | Les visiteurs ont le droit d’obtenir du e-commerçant la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées . Le cas échéant, vous devez indiquer de quelles données il s’agit et dans quelles circonstances elles sont traitées. |
| 16 | Droit de rectification | Les clients ont le droit d’obtenir la rectification des données à caractère personnel les concernant qui sont inexactes . |
| 17 | Droit à l’effacement («droit à l’oubli») | Les personnes concernées ont le droit d’exiger l’effacement des données personnelles les concernant si elles ne sont plus nécessaires au regard des finalités initiales, s’il n’existe pas de fondement juridique ou pour d’autres motifs similaires visés à l’article 17 du RGPD. |
| 18 | Droit à la limitation du traitement | Les clients ont le droit d’exiger la limitation du traitement . |
| 20 | Droit à la portabilité des données | Ce droit s’applique aux données nécessaires à l’exécution d’un contrat ou au traitement desquelles les clients ont consenti . Selon cet article, les clients peuvent demander que les responsables du traitement leur remettent les données collectées dans un format structuré, couramment utilisé et lisible par machine, afin de les transférer à d’autres responsables du traitement des données . Vous avez également, en tant que gérant du site web, la possibilité de leur transmettre vous-même les données s’ils le souhaitent. |
| 21 | Droit d’opposition | Les personnes concernées ont le droit de s’opposer à tout moment, pour des raisons particulières , à un traitement des données à caractère personnel les concernant considéré comme licite en vertu de l’article 6 du RGPD. Lorsque les données à caractère personnel sont traitées à des fins de prospection , elles ont le droit de s’opposer à tout moment au traitement. |
| 77 | Droit d’introduire une réclamation auprès d’une autorité de contrôle | Tout visiteur a le droit d’introduire à tout moment une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de ses données personnelles est contraire au droit applicable . |
Existe-t-il un modèle de politique de confidentialité pour les sites e-commerce ?
Il n’existe pas de modèle type pouvant être appliqué aux boutiques en ligne. Le RGPD n’impose pas aux commerçants la manière exacte dont ils doivent informer leurs clients sur le traitement de leurs données. C’est la raison pour laquelle vous trouverez différents types de déclarations de protection des données. Certaines sont structurées de manière identique aux conditions générales. Vous pouvez aussi choisir de la rédiger sous la forme d’une page FAQ pour faciliter la compréhension, en répondant simplement aux questions que peuvent avoir vos clients, par exemple :
- De quelle manière saisissons-nous vos données ?
- Pour quelle raison sont-elles collectées ?
- Quels sont vos droits concernant vos données ?
Vous trouverez sur Internet différents modèles pouvant vous servir de modèle pour rédiger votre politique de confidentialité. Cela étant dit, comme chaque e-commerçant traite différemment les données de ses visiteurs, vous devrez toujours adapter de toute façon ces modèles à vos propres processus. De plus, nous vous conseillons de vous faire accompagner par un avocat ou un juriste pour préparer votre politique de confidentialité ou à minima de la faire réviser. Cela vous permet de vous assurer qu’elle est conforme et exhaustive.
Quels sont les autres aspects à considérer dans une politique de confidentialité en e-commerce ?
Outre la politique de confidentialité, vous devrez respecter d’autres principes pour rester conforme au RGPD. Ils concernent les contenus suivants :
- Formulaires
- Chiffrement du site web
- Marketing par e-mail
- Cookies
- Plugins réseaux sociaux
Formulaires
Les sites marchands comportent souvent différents formulaires qui transmettent des données clients, par exemple lors d’une commande ou d’une inscription à une newsletter. Le RGPD impose de respecter deux principes fondamentaux :
- Minimization of data: as an e-merchant, you can only collect the data strictly necessary for the execution of the order. Let’s take a concrete example: when placing an order, only the name and address may be requested from the customer to finalize an online order. On the other hand, if the customer wishes to receive a newsletter by e-mail, you will not be able to ask him to indicate his postal address or his telephone number.
- Confidentialité : toute transmission de données doit s’effectuer de manière cryptée. En tant qu’e-commerçant, vous êtes donc tenu de protéger les données personnelles de vos clients contre tout traitement non autorisé ou illicite.
Chiffrement du site web
Conformément à l’article 32, alinéa 1, point a) du RGPD, les e-commerçants sont tenus de garantir une transmission des données chiffrée. À cet égard, il est recommandé de sécuriser votre site de vente en ligne par un protocole de communication HTTPS. Grâce au certificat SSL, vous garantissez …
- … authentication of communication partners using an asymmetric encryption key.
- … confidential end-to-end data transmission using an asymmetric encryption key.
- … the integrity of the data transported.
Pour savoir comment obtenir un certificat SSL et quelles sont les normes de sécurité à respecter, lisez notre article complet sur la sécurité d’un site e-commerce.
Marketing par e-mail
Depuis l’entrée en vigueur du RGPD, les boutiques en ligne sont obligées de mettre en place une procédure dite du « double opt-in » concernant le consentement au traitement des données (par exemple pour s’inscrire à une newsletter). Concrètement, lorsqu’un utilisateur se trouve sur votre site et est intéressé par une information ou une offre publicitaire, il doit dans un premier temps consentir à donner son adresse de contact, par exemple en cochant une case. Votre site lui envoie dans un second temps un lien de confirmation par e-mail qu’il devra suivre pour confirmer sa demande. L’internaute consent ainsi une deuxième fois à recevoir des offres de votre part à l’avenir : c’est le double opt-in/consentement. Ce n’est qu’à partir de ce moment-là que vous pouvez envoyer des newsletters et d’autres contenus sur l’adresse qu’il aura renseignée. S’il ne clique pas sur le lien de confirmation, vous n’aurez alors le droit ni d’utiliser ni de stocker son adresse e-mail.
Cookies
En e-commerce, les cookies ou traceurs jouent également un rôle important dans la protection des données. De nombreuses boutiques en ligne utilisent les cookies dans le but d’améliorer leur ergonomie. Par exemple, elles stockent des informations afin que les utilisateurs n’aient pas à les saisir à nouveau lors de chaque visite, notamment :
- les préférences linguistiques
- le contenu du panier
- les données de connexion
Dans ce domaine, une autre directive vient compléter le RGPD : il s’agit de la directive ePrivacy (directive 2009/136/CE). Celle-ci stipule que vous pouvez déposer des cookies sans le consentement préalable de l’utilisateur, à condition qu’ils soient strictement nécessaires pour faire fonctionner le site. Vous devez néanmoins mentionner explicitement leur utilisation à l’aide d’un bandeau cookies. Pour ce qui est des autres cookies non essentiels au fonctionnement de votre site marchand, vous devrez obtenir le consentement des clients.
Le tableau suivant fournit des exemples pour chaque catégorie de traceurs :
| Cookies dits « fonctionnels » | Cookies non essentiels au fonctionnement du service |
|---|---|
| Cookies de personnalisation de l’interface utilisateur destinés à garder en mémoire ses paramètres d’une session à l’autre (p. ex. le choix de la langue) | Outils de traçage et d’analyse |
| Cookies flash destinés à diffuser du contenu média | Services d’affiliation |
| Cookies opt-out destinés à annuler le consentement | Services de remarketing et de reciblage |
| Cookies de paiement des prestataires de paiement intégrés au site (servant exclusivement au traitement des paiements et en aucun cas à l’analyse du comportement de l’utilisateur) | Plugins de partage sur les réseaux sociaux |
| Cookies provenant des systèmes de live chat | Systèmes de cartes en ligne |
Plugins de réseaux sociaux
Auparavant, les fonctionnalités de partage sur les réseaux sociaux collectaient d’emblée les données des visiteurs. Depuis l’entrée en vigueur du RGPD, vous devez désormais vous assurer que les cookies de réseaux sociaux sont désactivés par défaut avant de les placer sur votre site e-commerce. S’il est intégré correctement, le bouton passif ne devient actif que lorsque l’utilisateur clique dessus. Dans ce cas, en cliquant sur ce bouton, l’utilisateur consent à transmettre ses données à la plateforme concernée. Ici, on part effectivement du principe que les utilisateurs ne cliqueront sur ce bouton que s’ils souhaitent réellement l’utiliser, par exemple pour partager le contenu de votre boutique en ligne.
Cette solution courante consiste à faire appel à des boutons Shariff , une extension de partage de réseaux sociaux. De manière similaire au processus de double consentement pour la newsletter, vous pouvez recourir à la solution du double cliquage pour obtenir le consentement des internautes pour utiliser la fonctionnalité réseaux sociaux. Les visiteurs cliquent d’abord sur l’icône du réseau social souhaité, puis vous recueillez leur consentement explicite afin de procéder au transfert de leurs données.
Le traitement par un sous-traitant
En tant qu’e-commerçant, vous collaborez avec de nombreux prestataires, parmi lesquels :
- des prestataires de paiement
- des prestataires SaaS
- des services de cloud
Ces partenaires traitent eux aussi les données personnelles des clients des sites marchands. C’est pourquoi le RGPD impose l’élaboration d’un contrat relatif au traitement par des sous-traitants. Ce contrat est l’unique document qui établit la base juridique permettant de partager les données des clients avec des tiers. Si un tel contrat entraîne sans aucun doute une charge de travail supplémentaire, il a néanmoins le mérite de vous offrir une plus grande sécurité qu’auparavant. Ainsi, en cas de violation de la protection des données par l’un de vos sous-traitants, vous serez alors en mesure de prouver que la responsabilité lui incombait.
Protection des données sur un site e-commerce : check-list pour rédiger une politique de confidentialité conforme
Toute boutique en ligne recueille un certain nombre de données personnelles de ses utilisateurs. C’est pour veiller à leur protection que le Règlement général sur la protection des données est entré en vigueur. Il harmonise les directives en matière de protection des données sur Internet pour l’ensemble des États membres de l’UE. En tant que commerçants en ligne, vous devez donc respecter des règles spécifiques, notamment en ce qui concerne l’envoi de newsletters, les boutons « partager » et « j’aime » des réseaux sociaux et les formulaires. Par ailleurs, le RGPD stipule que vous devez veiller à informer vos visiteurs sur le traitement et la protection de leurs données dans votre boutique en ligne. La check-list ci-dessous récapitule les différents points auxquels vous devez prêter attention pour établir une politique de confidentialité conforme au RGPD :
| Contenu | Explication | Exemple |
|---|---|---|
| Responsabilité | Qui est responsable de la saisie des données sur un site e-commerce ? | Propriétaire du site e-commerce, responsable du traitement |
| Nature et étendue de la collecte des données | Quel type de données des internautes sont collectées et traitées par le site e-commerce ? | Adresse IP, nom et adresse |
| Nature et étendue de la collecte des données | À quel endroit du site les données sont-elles collectées ? | Lors de l’envoi d’un formulaire de contact, lorsque l’on accède au site e-commerce, via les boutons de partage des réseaux sociaux |
| Nature et étendue de la collecte des données | Que deviennent ces données ? | Elles sont stockées jusqu’à une durée déterminée |
| Nature et étendue de la collecte des données | Quelle en est la finalité ? | Objectifs marketing, effectuer des commandes |
| Nature et étendue de la collecte des données | Combien de temps les données sont-elles conservées ? | Jusqu’à la finalisation d’une commande, tant que l’utilisateur ne s’y oppose pas |
| Nature et étendue de la collecte des données | Les données sont-elles transférées à des tiers, et si oui, pourquoi ? | Google Analytics, prestataires d’expédition |
| Nature et étendue de la collecte des données | Quelles mesures prenez-vous pour garantir la sécurité des données sur votre site e-commerce ? | Protocole HTTPS |
| Base légale | Quel est le cadre juridique applicable dans le cadre de la collecte des données ? | Article 6, alinéa 1, point e) du RGPD |
| Droit de révocation | À quel moment les utilisateurs ont-ils le droit de s’opposer au traitement de leurs données ? | À tout moment en cas de marketing direct, uniquement après examen de raisons particulières pour tous les autres motifs |
| Autres droits des utilisateurs | De quels autres droits disposent les visiteurs de votre boutique en ligne ? | Droit d’information, de rectification et de suppression |