E-commerce : mon site internet est-il conforme au RGPD ?

Les questionnements sur la protection des données personnelles ont gagné le devant de la scène avec la mise en place du règlement nᵒ 2016/679 dit "RGPD". Ce texte européen a notamment renforcé les obligations des entreprises qui collectent et utilisent les données de personnes physiques (clients, employés...), tout en durcissant les sanctions applicables en cas de non-respect. Pour toute entreprise, TPE ou multinationale, qui utilise un site internet pour ses activités, les analyses de conformité avec le droit des clients à la protection de leurs données personnelles sont désormais incontournables.

1. La réglementation applicable

Qu'est-ce qu'une donnée personnelle ?

La loi définit une donnée personnelle comme toute donnée qui permet d'identifier une personne physique (directement ou indirectement). Seules les données concernant les personnes physiques sont considérées comme des données personnelles (ce qui exclut les données sur les entreprises).

Exemples : le nom, le prénom, un numéro identifiant client, un numéro de téléphone, une adresse email, une adresse postale, une adresse IP, une photo, un enregistrement vocal...

Remarque : certaines données personnelles sont dites " sensibles ". Il s'agit des données sur l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, biométriques, sur la santé, la vie sexuelle ou l'orientation sexuelle. La protection de ces données est renforcée.

Collecter les données personnelles de ses clients : sur quelle base légale ?

Le traitement des données personnelles des clients est autorisé dès lors qu'il repose sur l'une des bases légales suivantes :

• Le client a donné son consentement au traitement de ses données pour une ou plusieurs finalités clairement déterminées ;

• Le traitement est nécessaire à l'exécution du contrat du client (exemple : le recueil de son adresse nécessaire à la livraison) ;

• Le traitement est nécessaire au respect d'une obligation légale de l'entreprise (par exemple une obligation fiscale) ;

• Le traitement est nécessaire à la sauvegarde des intérêts vitaux du client ;

• Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investie l'entreprise ;

• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l'entreprise (notamment la prévention contre la fraude). Cet intérêt légitime doit être clairement indiqué et ne doit pas s'opposer aux intérêts ou aux libertés et droits fondamentaux du client.

En pratique, l'utilisation des données d'un client reposera généralement sur l'une des deux premières bases légales évoquées ci-dessus : soit pour la bonne exécution de son contrat, soit en recueillant directement son consentement au moment de sa commande.

L'entreprise devra alors également appliquer un principe général de finalité et de limitation (ou de " minimisation ") en fixant l'étendue et la durée de conservation des données au strict nécessaire au regard de ses objectifs. Cela signifie que la collecte et l'utilisation des données doivent répondre à un but précis, clairement défini, et en rapport avec l'activité principale de l'entreprise.

Remarque : la Commission nationale de l'informatique et des libertés (CNIL) recommande une durée de conservation de 3 ans pour les fichiers clients ou prospects.

Les obligations à respecter : sécurité, confidentialité et information des clients

Toute entreprise qui collecte, conserve et/ou utilise des données personnelles sur ses clients (on utilise le terme générique de "traitement des données"), est désignée légalement comme un responsable de traitement. Elle devient alors responsable de la bonne application de la réglementation sur les données personnelles, et notamment :

• une obligation de sécurité : l'entreprise doit garantir la sécurité de ses locaux et de son système pour empêcher que les fichiers soient volés, déformés ou endommagés ;

• une obligation de confidentialité : l'entreprise doit limiter le nombre de personnes ayant accès aux données personnelles et garantir leur caractère privé ;

• une obligation d'information : l'entreprise doit s'assurer de la délivrance au client des informations relatives à l'identité du responsable des données, la finalité et la durée de leur conservation, ainsi que le caractère obligatoire ou facultatif des informations fournies. Elle doit également informer les personnes concernées sur leurs droits :

• droit d'accès, de rectification, d'opposition ou de suppression des données ;

• droit à la portabilité des données vers un autre support ou service ; et

• droit de définir des directives post-mortem.

La désignation d'un délégué à la protection des données n'est obligatoire que pour les entreprises qui effectuent un traitement régulier et systématique de personnes à grande échelle, ou qui traitent à grande échelle de données sensibles ou relatives à des condamnations pénales et infractions.

Remarque : Les obligations de déclaration à la CNIL ont été supprimées, sauf exception dans certains secteurs liés à la santé ou à la sécurité publique.

2. Maintenir un registre des traitements de données personnelles

Toute entreprise qui collecte et utilise des données personnelles a l'obligation de maintenir un registre des différents traitements qu'elle effectue (article 30 du Règlement UE 2016/679). Ce registre doit détailler :

• le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;

• les finalités du traitement ;

• les personnes dont les données sont utilisées et le type de données concernées ;

• les personnes ayant accès aux données (notamment les tiers) ;

• la durée de conservation des données ;

• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ; et
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en place.

Un modèle de registre simplifié est disponible sur le site de la CNIL.

Remarque : pour les entreprises de moins de 250 salariés seuls les traitements non occasionnels, c'est-à-dire réguliers et relatifs aux activités normales de l'entreprise doivent être indiqués sur le registre. Sont considérés comme tels les traitements de données liées à la constitution de fichiers clients ou prospects.

3. Informer ses clients : conseils pratiques

L'entreprise doit s'assurer que son site internet et sa communication avec les clients répond à un principe de transparence. Pour cela la CNIL recommande de systématiquement expliquer aux clients par des mots simples et facilement compréhensibles :

• la raison de la collecte de leurs données ;

• quelle forme prendra le traitement de leurs données ;

• les modalités d'exercice de leurs droits.

La fourniture de ces informations peut être réalisée par tout moyen. En pratique, elle pourra intervenir à deux niveaux :

• 1er niveau : sur le formulaire utilisé par le client pour communiquer ses informations personnelles ;

• 2e niveau : sur une page web ou un espace dédié à la politique de confidentialité.

Au niveau du formulaire

Tout formulaire utilisé par le client pour communiquer ses données personnelles doit préciser a minima le nom du responsable de traitement et la finalité pour laquelle les données sont collectées, ainsi qu'un lien vers la page web dédiée à la politique de confidentialité.

Lorsque les données du client sont recueillies sur la base de son consentement (cas où l'utilisation des données s'écarte de la simple exécution du contrat, par exemple pour l'envoi d'offres commerciales), ce consentement doit obligatoirement être recueilli par un acte positif et univoque. En pratique cela pourra prendre la forme d'une case à cocher par le client (vide par défaut).

Remarque : la mise en place d'une case à cocher spécifique est nécessaire pour chaque utilisation des données envisagée.

Au niveau d'une page web dédiée

L'entreprise devra réserver sur son site une page web ou un espace dédié sur lequel le client pourra consulter sa politique de protection des données, ou politique de confidentialité. Un lien visible vers cette page sera indiqué sur chaque page du site (en indiquant " données personnelles " ou " confidentialité "), ainsi que sur le formulaire utilisé pour recueillir les données du client.

La politique de confidentialité doit contenir les mentions suivantes :

• identité et coordonnées de l'entreprise (responsable du traitement de données) ;

• le descriptif des finalités (à quoi vont servir les données collectées) ;

• la base légale du traitement de données : consentement, contrat, obligation légale... (voir ci-dessus) ;

• le caractère obligatoire ou facultatif des données et les conséquences en cas de non-fourniture ;

• la désignation de tous les destinataires ou catégories de destinataires des données, y compris les sous-traitants et les partenaires (personnes autorisées à y accéder) ;

• la durée de conservation des données ;

• la liste des droits du client sur la protection de ces données (droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité) ;

• les coordonnées du délégué à la protection des données de l'organisme, s'il a été désigné, ou du contact responsable des questions de protection des données personnelles ;

• le droit d'introduire une réclamation auprès de la CNIL.

Dans certains cas des mentions supplémentaires seront requises :

• le droit au retrait du consentement à tout moment, lorsque la base légale du traitement est le consentement du client ;

• les intérêts légitimes poursuivis par l'entreprise (par exemple la prévention de la fraude) lorsque la base légale du traitement est l'intérêt légitime ;

• la réglementation ou le contrat qui requiert la fourniture des données, lorsque la base légale du traitement est la réglementation ou un contrat ;

• l'existence d'un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d'accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;

• l'existence d'une prise de décision automatisée ou d'un profilage, la liste des informations utiles à la compréhension de l'algorithme et de sa logique, ainsi que les conséquences pour la personne concernée.

Julien Poirée

Modèles et exemples à télécharger aux formats Word et PDF

• Politique de confidentialité
• Mentions légales pour un site internet
• Conditions générales d'un site internet (CGU/CGV)