Dans l’épisode précédent sur le RGPD, nous vous proposions une checklist pour vous aider à rendre votre site vitrine conforme au règlement. Cette semaine, nous partageons avec vous une liste d’actions pour rendre conforme votre site e-commerce.
Contrairement au site vitrine vu précédemment, le site e-commerce, de par sa nature, génère plus de traitements de données personnelles et demande plus de vigilance de la part du responsable du traitement.
Pour garantir une conformité au règlement, le traitement des données à caractère personnel sur un site e-commerce doit répondre à certains principes.
Ce principe renvoie à l’information de la personne concernée. En effet, la transparence du traitement suppose de fournir au préalable à la personne concernée une information complète et clair sur le traitement.
La licéité du traitement suppose qu’il est effectué sur une base légale. Cela renvoie au recueil du consentement préalablement au traitement. Outre le consentement, il existe 5 autres bases légales qui permettent de justifier le traitement de données à caractère personnel, à savoir l’exécution d’un contrat, une obligation légale, l’exécution d’une mission publique, l’intérêt vital et l’intérêt légitime.
Préalablement au traitement, ses finalités devront être déterminées par le responsable du traitement et être légitimes. Ainsi, le but du traitement doit être compatible avec les missions de l’organisme. Et dans le cas où lesdites finalités évoluent, la personne concernée doit en être informée et son consentement devra à nouveau être recueilli.
La pertinence des données à caractère personnel qui seront traitées doit être évaluée en fonction des finalités. Le traitement envisagé devra être non excessif et proportionnel à la finalité. Concrètement, le responsable du traitement doit se demander si les données qu'il collecte pour son site e-commerce sont réellement nécessaires pour son activité.
Il revient au responsable du traitement de prendre les mesures nécessaires, ce dans la limite du possible, pour que les données traitées soient exactes et à jour tout en tenant compte de la finalité.
Les données doivent être traitées de façon à leur garantir une sécurité appropriée. Ce principe est très important dans le cas d’un site e-commerce puisque des traitements à risques peuvent être opérés par le e-commerçant. Nous pouvons citer en exemple la conservation des données bancaires de l’internaute. Le responsable du traitement est tenu de garantir un paiement sécurisé sur son site mais aussi la sécurité des données bancaires qu’il conserve avec l’accord de l’internaute.
De même, en prenant l’exemple de la création de compte client sur le site e-commerce, le responsable du traitement doit prendre des mesures afin que les informations personnelles enregistrées dans le compte client soient protégées.
Les données traitées ne peuvent être conservées indéfiniment par le responsable du traitement. Une durée de conservation précise devra être définie en tenant compte de la finalité du traitement.
Selon la nature des données et les finalités, la Cnil propose des durées de conservations maximales dont le responsable du traitement peut s’inspirer pour déterminer les durées des données qu'il traite.
Le RGPD a consacré des droits existants aux personnes dont les données personnelles sont traitées. Mais il a également introduit de nouveaux droits, et le responsable du traitement est le garant de ces droits.
Parmi les droits consacrés nous retrouvons: le droit d’être informé, le droit de suppression, le droit de rectification, le droit d’accès et le droit de s’opposer.
Les nouveaux droits quant à eux regroupent le droit à la portabilité, le droit à l’effacement, le droit à la limitation du traitement, le droit de ne pas faire l’objet d’une décision résultant d’un traitement automatisé.
Le responsable du traitement doit prendre en compte ces différents droits lors des traitements de données personnelles sur son site e-commerce.
En pratique, le e-commerçant, responsable du traitement, va souvent avoir recours à un sous traitant dans le cadre du fonctionnement de son site e-commerce (ex: une plateforme intermédiaire de paiement). Le règlement a introduit la notion de co-responsabilité pour le responsable du traitement et le sous traitant qui traite des données personnelles. Selon cette disposition, le sous traitant sera soumis aux mêmes obligations que le responsable du traitement.
Maintenant que nous vous avons fourni des pistes d'actions pour rendre conforme votre site e-commerce, nous allons nous pencher dans le prochain et dernier épisode de la saison sur le RGPD sur des actions de mise en conformité d’un extranet, d’un intranet et d’une application.