Source d’inquiétude pour de nombreuses entreprises et e-commerçants, le RGPD est entrée en vigueur le 25 mai 2018.
Dès lors que vous gérez des paiements en ligne ou manipulez des données de résidents basés dans l’Union Européennes à des fins commerciales et marketing, vous faites parties des organisations concernées !
Pour mettre fin à vos préoccupations, on vous aide à y voir plus clair en vous donnant toutes les bonnes pratiques RGPD pour vous mettre en conformité.
Mais d’abord, commençons par les bases : le RGPD c’est quoi ?
Établi par le conseil de l’UE en avril 2016, le Règlement Général sur la Protection des Données (RGPD ou GDPR, pour General Data Protection Regulation en anglais) est la nouvelle loi de l’Union européenne sur la confidentialité des données.
Son entrée en vigueur a eu lieu le 25 mai 2018, date à laquelle elle a remplacé l’ancienne directive européenne sur la protection des données à caractère personnel datant de 1995.
Le RGPD est un texte de 88 pages définissant les règles que les organisations traitant des données doivent respecter en matière de collecte, de stockage, d’utilisation, de protection et de sécurisation.
Son objectif affiché est d’étendre les droits des citoyens européens vis-à-vis de leurs données personnelles, en renforçant leur protection et en leur donnant les moyens de gérer la manière dont elles sont utilisées par les entreprises.
Plus précisément, le RGPD donne aux personnes le droit d’accès, de correction, de suppression et de traitement strict de leurs données.
Il est légitime que vous vous posiez la question : le RGPD c’est pour qui ? Pour y répondre, voici trois choses à savoir.
1 – Activités commerciales dans l’UE
Même si votre entreprise n’est pas basée dans l’Union Européenne mais que vous y faites des affaires, vous devez vous mettre en conformité avec le RGPD.
Cette nouvelle réglementation concerne en effet toutes les entreprises de l’Union européenne, mais également tous ceux qui vendent des produits ou des services à des résidents Européens.
2 – Activités de traitement de données
Vous êtes concernés par le RGPD dès lors que vous collectez et/ou traitez des données personnelles.
Quelles données sont concernées par le RGPD ? N’importe quelle information client permettant d’identifier un individu. Photos, posts sur les réseaux sociaux, adresses IP, coordonnées bancaires et tous les numéros d’identification tels que le NIR : le RGPD s’applique à toutes les bases de données marketing, commerciales, publicité, RH, comptabilité…
Bref, si vous utilisez les données de vos clients à d’autres fins que de simplement remplir des commandes, alors vous êtes particulièrement concernés !
Rassurez-vous, vous n’êtes pas seul dans cette « galère ». Le RGPD ne s’applique pas seulement aux propriétaires de e-commerce, aux associations ou toutes autres organisations. Les outils, logiciels, CMS et réseaux sociaux tels que Google, Facebook, MailChimp ou encore Shopify, pour ne citer qu’eux, sont également concernés et doivent se mettre en conformité.
3 – TPE, PME, associations, grands comptes… tous dans le même bateau
Le RGPD affecte les entreprises privées ET publiques de toutes tailles ou secteurs.
Peu importe que vous comptiez un employé ou 10 000 : tant que vous gérez des données sur les citoyens Européens, le RGPD s’applique. Toutefois, les petits e-commerçants et TPE ne sont pas tenus de respecter les mêmes exigences qu’une grande entreprise ou un monstre du e-commerce.
Une entreprise du secteur de la santé, qui gère des données médicales considérées comme « sensibles » n’aura pas non plus les mêmes impératifs qu’une entreprise vendant des produits de beauté.
Toutefois, de nombreuses exigences du RGPD s’appliquent à l’intégralité des entreprises.
[NDRL : notre meilleure recommandation est de consulter une agence spécialisée RGPD pour vous aider à vous mettre en conformité]
« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. »
Le RGPD impose aux organisations d’être claires dans la manière dont elles obtiennent le consentement des clients. Autrement dit, le consentement d’un individu à remettre ses données doit être explicitement accordé.
En ce sens, les cases préalablement cochées ne constituent pas une indication de consentement valide.
Les personnes concernées doivent aussi pouvoir retirer leur consentement facilement. Dans ce cas, ils doivent également pouvoir demander la suppression de leurs données.
Bonne pratiques pour obtenir le consentement du client :
« Des modalités devraient être prévues pour faciliter à la personne concernée […] de demander et, le cas échéant, d’obtenir sans frais, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition. »
Le RGPD donne aux individus concernés le droit d’accéder simplement à toute information détenue sur eux et d’obtenir une copie de ces données dans un délai d’un mois.
Cela signifie que vous devez stocker les données que vous détenez de manière à ce qu’elles soient rapidement accessibles.
Bonnes pratiques pour autoriser l’accès aux données :
« Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées. »
En tant qu’entreprise ou e-commerce, vous collectez des informations sensibles : numéros de cartes bleues, localisation, adresses e-mail…
Depuis la mise en application du RGPD, vous devrez être explicite sur ce qu’il advient de ces données. Où vont-elles ? Par qui vont-elles être utilisées ? Qui est responsable de leur stockage et de leur traitement ?
Vous devez prouver que la sécurité des données est assurée par l’ensemble des services de votre entreprise : service marketing, informatique, communication, etc.
Bonnes pratiques pour la confidentialité :
Découvrez aussi comment protéger votre entreprise et e-commerce d’une cyberattaque
« Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. »
Le RGPD met l’accent sur la transparence des données.
Vous devez donc vous assurer que les informations que vous fournissez sont claires et facilement compréhensibles, et que les individus peuvent aisément faire valoir leurs droits par rapport à leurs données personnelles.
Bonnes pratiques pour la transparence des données :
Consultez aussi notre article de conseils pour la rédaction de vos CGV
« Dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, il convient qu’il le notifie à l’autorité de contrôle dans les meilleurs délais. »
Avec le RGPD, vous êtes tenu de signaler toute violation de données à la CNIL dans un délai de 72 heures suivant sa découverte et être en mesure de démontrer vos procédures de sécurité et de confidentialité des données très rapidement.
La personne concernée doit également être avertie dans le cas où la violation engendrerait des risques élevés pour ses droits et libertés.
Bonnes pratiques pour la notification de violation de données :
Toute entreprise jugée en infraction des nouvelles directives du RGPD peut se voir infliger une amende administrative pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros – le montant le plus élevé étant retenu. Mais il faudrait une violation grave du règlement pour une telle sanction financière. Ce type d’amendes sera donc un dernier recours.
Pour autant, cela ne signifie pas qu’il n’y a pas de répercussions en cas de non-respect du RGPD. À l’aide de rappels à l’ordre et d’avertissements publics, les autorités de contrôle exigeront que les organisations non-conformes prennent les mesures nécessaires pour se mettre en conformité.
Pensez aussi à l’atteinte à votre réputation que pourrait engendrer une violation de données. En outre, les personnes concernées ont le droit d’intenter des poursuites et de réclamer une indemnisation en cas de violation de données.
En conclusion, servez-vous du RGPD comme d’un guide sur la façon dont vous devez collecter, gérer et stocker les données personnelles de vos clients ! Au-delà de la charge de travail que la mise en conformité peut nécessiter, pensez aussi à l’opportunité qu’il représente de donner à vos clients une plus grande confiance et une meilleure expérience d’achat.
Pour aller plus loin, vous pouvez consulter ces ressources RGPD :
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.