Le RGPD-Avoir un site e-commerce conforme au règlement

RGPD Conformité Site e-commerce

Dans l’épisode précédent sur le RGPD, nous vous proposions une checklist pour vous aider à rendre votre site vitrine conforme au règlement. Cette semaine, nous partageons avec vous une liste d’actions pour rendre conforme votre site e-commerce.
Contrairement au site vitrine vu précédemment, le site e-commerce, de par sa nature, génère plus de traitements de données personnelles et demande plus de vigilance de la part du responsable du traitement.

Pour garantir une conformité au règlement, le traitement des données à caractère personnel sur un site e-commerce doit répondre à certains principes.

La transparence, la licéité et la loyauté du traitement

Ce principe renvoie à l’information de la personne concernée. En effet, la transparence du traitement suppose de fournir au préalable à la  Site e-commerce Conformité RGPDpersonne concernée une information complète et clair sur le traitement.

La licéité du traitement suppose qu’il est effectué sur une base légale. Cela renvoie au recueil du consentement préalablement au traitement. Outre le consentement, il existe 5 autres bases légales qui permettent de justifier le traitement de données à caractère personnel, à savoir l’exécution d’un contrat, une obligation légale, l’exécution d’une mission publique, l’intérêt vital et l’intérêt légitime.

La limitation des finalités

Préalablement au traitement, ses finalités devront être déterminées par le responsable du traitement et être légitimes. Ainsi, le but du traitement doit être compatible avec les missions de l’organisme. Et dans le cas où lesdites finalités évoluent, la personne concernée doit en être informée et son consentement devra à nouveau être recueilli.

La minimisation des données

La pertinence des données à caractère personnel qui seront traitées doit être évaluée en fonction des finalités. Le traitement envisagé devra être non excessif et proportionnel à la finalité. Concrètement, le responsable du traitement doit se demander si les données qu'il collecte pour son site e-commerce sont réellement nécessaires pour son activité.

L’exactitude des données

Il revient au responsable du traitement de prendre les mesures nécessaires, ce dans la limite du possible, pour que les données traitées soient exactes et à jour tout en tenant compte de la finalité.

La sécurité, l’intégrité et la confidentialité des données

Les données doivent être traitées de façon à leur garantir une sécurité appropriée. Ce principe est très important dans le cas d’un site e-commerce puisque des traitements à risques peuvent être opérés par le e-commerçant. Nous pouvons citer en exemple la conservation des données bancaires de l’internaute. Le responsable du traitement est tenu de garantir un paiement sécurisé sur son site mais aussi la sécurité des données bancaires qu’il conserve avec l’accord de l’internaute.
De même, en prenant l’exemple de la création de compte client sur le site e-commerce, le responsable du traitement doit prendre des mesures afin que les informations personnelles enregistrées dans le compte client soient protégées.

La limitation de la durée de conservation des données

Les données traitées ne peuvent être conservées indéfiniment par le responsable du traitement. Une durée de conservation précise devra être définie en tenant compte de la finalité du traitement.
Selon la nature des données et les finalités, la Cnil propose des durées de conservations maximales dont le responsable du traitement peut s’inspirer pour déterminer les durées des données qu'il traite.

Actions à mener pour un site e-commerce conforme

  • Définir la finalité des traitements qui seront mis en oeuvre sur le site, checklist RGPD Site e-commerce
  • Traiter uniquement les données réellement nécessaires pour atteindre les objectifs définis,
  • Vérifier régulièrement que les données sont à jour et exactes,
  • Limiter les durées de conservation et le volume des données,
  • Restreindre l’accès aux données personnelles aux personnes habilitées,
  • Eviter le croisement des données à caractère personnel,
  • Privilégier les méthodes de pseudonymisation de données ainsi que de chiffrement de données,
  • Mettre en place une politique d'authentification par mots de passe fiable,
  • Créer une page politique de confidentialité ou gestion des données personnelles qui reprendra en détail votre politique relative aux données à caractère personnel, avec des termes simples facilitant la compréhension de l’internaute.

Les droits des personnes

Le RGPD a consacré des droits existants aux personnes dont les données personnelles sont traitées. Mais il a également introduit de nouveaux droits, et le responsable du traitement est le garant de ces droits.
Parmi les droits consacrés nous retrouvons: le droit d’être informé, le droit de suppression, le droit de rectification, le droit d’accès et le droit de s’opposer.

Les nouveaux droits quant à eux regroupent le droit à la portabilité, le droit à l’effacement, le droit à la limitation du traitement, le droit de ne pas faire l’objet d’une décision résultant d’un traitement automatisé.

Le responsable du traitement doit prendre en compte ces différents droits lors des traitements de données personnelles sur son site e-commerce.

Actions à mener pour un site e-commerce conforme

  • Prévoir une procédure permettant à la personne concernée d'exercer ses droits; par exemple créer et mettre en ligne sur le site un formulaire pour demander à exercer ses droits.

Les sous traitants

En pratique, le e-commerçant, responsable du traitement, va souvent avoir recours à un sous traitant dans le cadre du fonctionnement de son site e-commerce (ex: une plateforme intermédiaire de paiement). Le règlement a introduit la notion de co-responsabilité pour le responsable du traitement et le sous traitant qui traite des données personnelles. Selon cette disposition, le sous traitant sera soumis aux mêmes obligations que le responsable du traitement.

Actions à mener pour un site e-commerce conforme

  • Vous devez apporter une attention particulière au choix des partenaires et travailler avec des partenaires ayant une politique de gestion de données à caractère personnel conforme au règlement.

A découvrir dans le prochain épisode

Maintenant que nous vous avons fourni des pistes d'actions pour rendre conforme votre site e-commerce, nous allons nous pencher dans le prochain et dernier épisode de la saison sur le RGPD sur des actions de mise en conformité d’un extranet, d’un intranet et d’une application.