RGPD : quelles obligations pour les e-commerçants ?

Le 25 mai 2018, le règlement européen sur la protection des données (RGPD) entrera en vigueur en France. Le point sur les nouvelles obligations dévolues aux entreprises récoltant des données personnelles et tour d’horizon des bonnes pratiques à destination des e-commerçants.

Le règlement européen sur la protection des données concerne tous les e-commerçants dont certains clients habitent dans un pays de l’Union européenne et qui collectent des données à caractère personnel, pouvant servir à identifier une personne. Le RGPD impose aux entreprises une obligation de transparence, c’est-à-dire qu’elles doivent informer leurs clients du traitement de leurs données (quelles données sont utilisées et stockées et pour quelle finalité). Mais elles seront aussi obligées de recueillir leur consentement pour les différentes utilisations qui en seraient faites. Par exemple, un utilisateur peut accepter de créer un compte pour la livraison de ses commandes, mais ne pas souhaiter que les données délivrées dans ce cadre soient utilisées à des fins marketing. Dans ce cas, le e-commerçant doit s'assurer que les données personnelles sont collectées et stockées uniquement pour le but qui a été consenti, ce qui signifie que la plateforme e-commerce doit enregistrer les données uniquement à cette fin et pas plus.

Par ailleurs, les entreprises seront dans l’obligation, dès le mois de mai prochain, de répondre aux demandes d’exercice du droit d’accès des personnes dont les données sont récoltées, à des fins de consultation, rectification mais aussi de suppression. « Cela implique des changements dans la politique et les process de recueil de la donnée, prévient Alexandra Gazda, directrice qualité et data protection officer chez OSF . Les e-retailers vont devoir arrêter d’utiliser la même source de données pour toutes leurs activités ». Et si un utilisateur demande à exercer son droit à l’oubli, ils seront contraints de supprimer toutes ses données sur l’ensemble des lieux de stockage, y compris les sauvegardes, ce qui s’annonce très lourd techniquement. « De nos jours, les données sont sauvegardées dans de nombreux endroits et il est difficile de supprimer les données de tous ces emplacements », poursuit Alexandra Gazda. Pour avoir cette vue d’ensemble, sur les données recueillies mais aussi leur lieu de stockage, le RGPD impose l’élaboration d’un référentiel documentaire (cf les bonnes pratiques à la fin de l’article).

Toujours dans l’optique de responsabiliser davantage les « data controllers », à savoir les entreprises qui contrôlent et organisent le recueil de la donnée, le RGPD exige le renforcement de leur politique de sécurité. Les données conservées doivent désormais être soumises à des contraintes fortes : gestion stricte des habilitations, traçabilité des accès, sécurisation du réseau et des échanges avec les tiers… Cette obligation est aussi valable dans les relations aux entreprises sous-traitantes qui ont accès aux fichiers de données. Il est recommandé de définir contractuellement entre les parties ces obligations de sécurité. Les e-commerçants, en tant que data controllers, seront responsables si les précautions nécessaires n’ont pas été prises par un sous-traitant, même si ce dernier est fautif. « OSF a d’ores et déjà défini un plan d'implémentation du RGPD. Nous travaillons également à la création de templates adaptés et à l’implémentation de solutions de sécurisation des données, de cryptage, etc. Nous prévoyons de développer d’autres services pour la gestion des consentements notamment », explique Alexandra Gazda.

7 bonnes pratiques pour se mettre en conformité

Identifier l’ensemble des données personnelles stockées appartenant à des citoyens de l’Union européenne, leur lieu de stockage dans les systèmes, mais aussi les process de transfert de la data vers et en dehors de l’UE. Il est fortement recommandé de tenir un registre de la data. Il doit contenir les différentes typologies de data conservées, leur lieu de stockage, leur propriétaire, leur durée de conservation légale, le but de leur collecte, si elles sont transférées à un tiers, les mesures de sécurité, les différents responsables du traitement…

Identifier tous les tiers qui manipulent les données personnelles de ses clients et les obliger à se conformer aux obligations du RGPD en signant avec eux un document contractuel spécifique au traitement et au transfert de la donnée.

En fonction des résultats obtenus en 1 et 2, concevoir un plan de mise en conformité.

Mettre à jour sa politique de sécurité et de confidentialité en tenant compte des nouveautés évoquées ci-dessus et en prenant en compte notamment les sous-traitants.

Obtenir de manière certaine le consentement de ses clients pour toutes les utilisations de leurs données personnelles. Si le consentement n’a pas été obtenu la donnée doit être obligatoirement supprimée (ne concerne pas la data captée et conservée pour des raisons légales comme les informations de facturation, incluant le numéro de compte bancaire).

Etre sûr de la sécurité de ses moyens de stockage pour éviter les fuites de données.

Identifier et inscrire dans des documents légaux les conditions de transfert et de traitement de la data par des tiers, ainsi que pour tout transfert de la donnée vers un pays extérieur à l’UE.

Pour en savoir plus sur nos services d'intégration, nos références clients etc.n'hésitez pas à contacter les équipes d'OSF sur notre site: www.osf-commerce.com ou contact@osf-commerce.com