logo kiwik

Blog-Kiwik

le blog Kiwik avec des vraies pépites d’actu dedans !

Vous avez un projet e-commerce génial ?

Contactez-nous

tel kiwik

Catégories: Actualités Kiwik, E-commerce : conseils et actus

RGPD, tout ce que vous devez savoir pour être conforme

Le Règlement sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Nous savons que cette nouvelle réglementation peut être assez complexe à comprendre et fait peur à certains d’entre vous. Pour ces raisons, la Team Kiwik vous présente à travers cet article tout ce que vous devez savoir pour vous mettre en conformité avec cette nouvelle loi.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai 2018.

Il s’agit d’une directive européenne qui oblige toutes les entreprises et les administrations à respecter certaines règles concernant le traitement des données à caractère personnel. Le but de ce règlement est de protéger les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel.

Quels changements pour les e-commerçants ?

Le plus grand changement va être l’obligation de justifier le traitement des données que vous effectuez. En effet, vous récoltez des données à chaque commande, création de compte, newsletter ou encore sur les réseaux sociaux ou les avis produits. Vous devrez donc désormais définir clairement quel type de données vous récoltez et l’utilisation que vous en faites.

Depuis le 25 mai 2018, vous devez également être en mesure de rectifier ou de supprimer les données d’un client à sa demande et pouvoir lui prouver que ce changement a bien été effectué.

Toute personne donc est désormais en droit d’accéder à ses données personnelles, de récupérer ses données et de retirer son consentement, même après l’avoir donné.

Afin d’être réactif à ces demandes et pour respecter la réglementation, l’idéal est donc de tenir un registre contenant toutes les données personnelles que vous avez recueillies pour les identifier rapidement. Les informations doivent être communiquées dans un délai de 1 mois après réception de la demande.

Créer une page dédiée aux données personnelles

Après avoir effectué une veille technique la Team Kiwik peut maintenant vous proposer ses conseils de mise en conformité sur la partie juridique.

Vous êtes dans l’obligation d’informer les visiteurs de votre site de votre politique de protection des données.

Pour cela, la Team Kiwik vous conseille de directement créer une page « Protection des Données Personnelles » dédiée, afin de centraliser toutes les informations dans un document unique. Vous n’aurez plus qu’à proposer un lien directement dans votre footer (pied de page) à côté de vos Mentions Légales et de vos CGDV permettant un accès rapide à l’information sur toutes les pages de votre site.

Quelles informations intégrer à cette page ?

Dans cette page, l’information doit être rédigée de la manière la plus claire, précise et simple possible.

• Définition du RGPD

Vous pouvez dans un premier temps définir ce qu’est le Règlement Général sur la Protection des Données et ensuite les changements qui en découlent.

• Identité et coordonnées de l’organisme qui traite vos données

Il faut définir où sont stockées les données personnelles de vos clients. Pour les e-commerçants, il s’agit de donner l’identité et les coordonnées de l’hébergeur responsable de vos serveurs.

• Le ou les destinataires des données

Vous êtes dans l’obligation de révéler le destinataire des données que vous collectez. Vous devez donc informer vos visiteurs que vous êtes seul à avoir accès à ces données, que vous les revendez ou les échangez.

• Comment protégez-vous les données ?

Il est important de préciser dans cette page la façon dont vous protégez les données de vos utilisateurs notamment en spécifiant les systèmes de sécurité utilisés pour les mots de passe ou encore les numéros de carte bancaire.

• Le type de données personnelles récoltées et à quoi servent-elles ?

C’est une des parties les plus importantes de votre page « Données Personnelles ». Il s’agit de définir clairement les sources des données que vous récoltez telles que :

  • Commandes
  • Newsletter
  • Réseaux sociaux
  • Avis produits
  • Publicité/Cookies
  • Etc

Pour chaque source, vous devrez donc détailler quel type de donnée vous récoltez et l’utilisation que vous en faites.

• Droit des personnes concernées et durée de conservation des données

Vous devez préciser à vos visiteurs qu’ils sont en droit d’accéder à leurs données personnelles, de les corriger ou de les supprimer. Pour cela, vous indiquerez la marche à suivre pour faire une demande. Le plus simple est de créer une nouvelle adresse e-mail dédiée, à laquelle les visiteurs pourront vous adresser leur demande.

Pour vous aider

Pour vous inspirer vous pouvez dès à présent consulter la page « Politique de Protection des Données » de PrestaShop ou la page de sa Marketplace Addons.

À titre d’exemple voici également ce qu’a fait Le Slip Français, célèbre site crée sous PrestaShop. La CNIL a aussi sorti cet article plutôt intéressant.

Les autres points à respecter pour être conforme

Au-delà de la création d’une page « Données Personnelles », vous devrez également respecter plusieurs autres obligations bien précises.

Tenir un registre des activités de traitement

Ce registre permettra de recenser tous les traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles. Ce registre regroupe toutes les données personnelles collectées avec leur finalité, leur durée de conservation, les personnes ayant accès à ces données, la présence ou non de données sensibles etc. Exemple de registre par la CNIL.

Désigner un DPO

Si votre entreprise traite des données personnelles à grande échelle et de manière régulière, vous devez désigner un Délégué à la Protection des Données. Cette personne sera chargée de la protection des données personnelles dans l’entreprise et veillera au bon respect du RGPD. Il peut s’agir d’une personne en interne (avec les compétences nécessaires, informatique, droit etc) ou une personne externe à l’entreprise comme un bureau d’avocat.

Signaler à la CNIL les violations de données personnelles

Si vous découvrez que votre entreprise a subi une violation de ses données, vous être dans l’obligation de le signaler à la CNIL sur son site internet dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

Recueillir le consentement des visiteurs

Le consentement doit toujours être demandé au visiteur et vous devez également l’informer de l’utilisation que vous ferez de ses données et la durée de leur conservation.

Lors de l’inscription ou la création d’un compte, vous devez donc clairement demander le consentement du visiteur avec un système de cochage. Des mentions légales doivent également apparaître lors de chaque saisie.

Voici ce que PrestaShop propose sur Addons :

Source de l’image : PrestaShop Addons

Pour les cookies, hormis les cookies nécessaires au fonctionnement du site (cookies de session PrestaShop par exemple), vous devez demander le consentement du visiteur pour déposer les cookies. Vous devez laisser le choix à l’utilisateur d’accepter ou de refuser l’utilisation de cookies.

Pour rappel, un cookie est un petit fichier texte qui est déposé sur le disque dur d’un internaute par le serveur du site visité qui recueille des données. C’est les cookies qui permettent de reconnaître un visiteur lorsqu’il revient sur un site web.

La création d’une page dédiée à la politique des traceurs et des cookies peut être une bonne pratique afin de lister ceux que vous utilisez et ce que vous en faîtes. PrestaShop devrait prochainement créer la sienne.

Quelques conseils supplémentaires :

  • Sécuriser vos données en mettant à jour vos antivirus, vos logiciels et changez vos mots de passe régulièrement.
  • Faites le tri dans vos données pour ne recueillir que les données dont vous avez vraiment besoin et qui sont nécessaires pour votre entreprise.
  • Supprimez les comptes clients inactifs depuis plus de 3 ans et les données collectées de façon illicite.
  • Respecter ces nouvelles procédures au quotidien.

À vous de jouer !

Maintenant que vous avez la théorie, place à la pratique ! 😜

En ce qui nous concerne, tous nos sites internes sont en cours de conformité, nous sommes actuellement en pleine validation juridique avec un avocat.

Vous avez aimé cet article ? N’hésitez pas à le partager ! 🙂