RGPD : mise en conformité d’un site e-commerce
RGPD, mise en conformité des sites e-commerce à la nouvelle loi sur le traitement des données personnelles
Après avoir abordé les règles générales du RGPD pour un site internet classique, voici un récapitulatif des modifications à faire pour le traitement des données personnelles d’un site de vente ou boutique en ligne.
Il s’agit notamment des conditions générales de vente, et, comme pour les sites vitrine, institutionnels et blogs, des formulaires, des avis et commentaires des clients, de l’information de la présence de cookies, de la politique de confidentialité et de la gestion du risque.
Adaptez vos conditions générales de vente au RGPD
Lorsqu’un de vos clients fait une commande, il faut qu’il ait impérativement pris connaissance de vos conditions générales de vente. Cette procédure est devenue obligatoire avant toute validation de panier. L’accès à votre politique de confidentialité, informant vos clients de la façon dont vous traitez leurs données personnelles, est également nécessaire. De même, il est impératif de mettre en place une case à cocher permettant de confirmer la prise de connaissance et l’acceptation de ces 2 documents.
Le suivi des commandes
Vos clients devront désormais créer un compte personnel pour pouvoir enregistrer et suivre leur commande. Ils vont donc devoir remplir un formulaire, ce qui nécessitera automatiquement un lien vers la politique de confidentialité et une case à cocher pour pouvoir attester de leur accord avec celle-ci.
Les avis clients
Comme pour la confirmation et le suivie des commandes, le RGPD exige un consentement en ce qui concerne la publication des avis de vos clients. En effet, ici aussi, ils vous confient des données personnelles notamment en inscrivant leur nom et prénom. Il faudra donc, encore une fois, leur permettre de lire et accepter votre politique de confidentialité. De plus, chaque avis doit être obligatoirement rattaché à un achat véritable et vérifiable pour être conforme au RGPD.
Bonnes pratiques et sécurité
Selon le cadre dans lequel le consentement de vos clients est collectée, il est important de s’interroger sur la nature des autorisations liées à leurs données personnelles. Un simple consentement peut être suffisant, mais la mise en place d’un vrai contrat bilatéral peut s’avérer plus sécurisant ou même obligatoire dans certains cas.
Les informations que vous transmettrez à vos clients devront alors respecter les articles 12-13-14 du RGPD.
Il convient également de vérifier que vos sous-traitants respectent à leur tour le RGPD. Ajoutez des clauses à leur attention afin de vous assurer que vous n’êtes pas exposé au risque à travers les pratiques de vos sous-traitants, notamment en ce qui concerne la portabilité des données et leur pays de destination qui doit être reconnu par la communauté Européenne.
Pour être conforme à la nouvelle loi, mettez en place une politique de gestion des risques au sein de votre entreprise. Elle prévoit la désignation d’une personne responsable du traitement des données personnelles et de leur sécurité, le mode de traitement des données, la surveillance systématique et tenu d’un registre et l’utilisation d’applications et logiciels permettant une protection maximale et une gestion des risques efficace.
Résumé des pratiques interdites par le RGPD
Depuis le 25 mai 2018, les sites doivent faire attention à ne pas continuer à utiliser certaines pratiques jusque là autorisées. En effet, la nouvelle loi sur le traitement des données personnelles prévoit des sanctions pouvant aller jusqu’à une amende à hauteur de 4% du chiffre d’affaires de l’entreprise ou 20 millions d’euros !!
De quoi se motiver pour prendre les mesures nécessaires à la mise en conformité de votre entreprise au RGPD.
Pratiques interdites :
Ne sollicitez plus vos clients et prospects sans consentement préalable : l’envoi d’une newsletter, d’un email de prospection ou email publicitaire sans consentement au préalable est désormais formellement proscrit. De même, vous ne pouvez plus suivre l’historique d’achats de vos client dans le cadre du profilage sans leur consentement. Cela remet en cause tout l’aspect marketing de votre entreprise qu’il faut donc impérativement repenser. Enfin, vous ne pouvez plus utiliser la technique de re-targeting avec la présentation de publicités après la consultation de certains produits par vos clients si vous n’avez pas demandé leur accord en amont.
Pour savoir quels envois vous pourrez faire à vos clients, il faut donc leur demander un consentement spécifique en fonction de la nature de chaque envoi. En effet, certains clients seront d’accord pour recevoir une newsletter mais refuseront un email publicitaire ou vice versa.
Vous avez certainement constaté qu’à ce jour le nombre d’entreprises conformes à la loi est encore rare : vous continuez certainement à recevoir un grand nombre de sollicitations publicitaires non consentis dans votre boite email !
Pour vous démarquer de vos concurrents, pensez à envoyer un email à vos clients et prospects actuels, leur expliquant les nouvelles règles du RGPD et leur demander leur consentement en détaillant l’objectif de vos envois d’email.
Vous vous en rendez certainement compte : le respect de cette loi récente vous oblige de recourir à une toute nouvelle organisation au sein de votre entreprise. En résumé, vous ne pouvez plus utiliser une donnée personnelle sans le consentement de son propriétaire !