Publié le 14/10/2022
Les e-commerçants maîtrisent de plus en plus les techniques optimisant les offres personnalisées. Revers de la médaille, ils possèdent de très nombreuses informations privées sur leurs clients. Or, l’entrée en application fin mai du Règlement général sur la protection des données (RGPD) implique une profonde remise à plat de toutes ces pratiques.
L’article 5 de ce texte précise que les entreprises ne doivent traiter que les données à caractère personnel « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». C’est le principe de la minimisation.
Rappelons que ces données, concernant les clients, les prospects et celles des salariés de l’entreprise sont multiples : nom, date de naissance, mais aussi adresse IP.
Si comme beaucoup d’entreprises, vous n’êtes pas encore en conformité avec le RGPD, voici la marche à suivre pour l’être rapidement :
la première étape consiste à cartographier de façon exhaustive son Système d’information (SI). L’objectif est d’identifier tous les supports stockant ces données (en interne ou dans le Cloud) mais également tous les moyens utilisés pour les recueillir :
Les traitements des données à caractère personnel doivent être détaillés dans un Registre des Activités de Traitement (article 30 du RGPD). Ce document obligatoire est maintenu à jour par le DPO (Data protection officer), c’est-à-dire la personne en interne (ou externe dans le cadre d’une prestation) qui est chargée de la conformité de l’entreprise vis-à-vis du RGPD.
La seconde étape majeure est de s’assurer que tous les clients et prospects ont bien donné leur consentement « explicite ». Exit la cache pré-cochée pour recevoir une newsletter ! Les sites de e-commerce s’appuyant sur des fichiers de prospects doivent également vérifier que les prestataires qui leur ont vendu de telles bases de données possèdent bien tous ces accords...
Le DPO doit s’assurer que tous les consentements ont été recueillis et en conserver les preuves en cas de contrôle de la CNIL. Il doit aussi veiller à ce que les internautes puissent se désabonner facilement d’une newsletter, demander la suppression de toutes leurs données ou exiger sous 30 jours le détail exhaustif de toutes les informations les concernant et traitées par le site.
Il est donc impératif de synchroniser le site internet avec les bases de données enrichies par les formulaires en opt-in, consentement préalable de l’individu, mais aussi les droits des internautes.
Enfin, la gestion des cookies doit être transformée. Certains devront être désactivés partiellement ou totalement (pages visitées, temps passé, clics...). Il est également indispensable d’indiquer de façon explicite la nature du cookie et sa finalité pour que chaque internaute choisisse ou non de les activer.
Pour aider les sites de e-commerce, la CNIL a publié un exemple de bandeau conforme pour des cookies publicitaires et de mesure d’audience : « En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [par exemple, des publicités ciblées adaptées à vos centres d’intérêts] et [par exemple, réaliser des statistiques de visites]. »
La mise en conformité d’un site de e-commerce peut s’avérer complexe selon la taille et l’activité de l’entreprise. Une organisation de la gouvernance des données orchestrée par le DPO est indispensable.
Elle permet de repartir sur de bonnes bases. Mais surtout, le RGPD est l’occasion de (re)gagner la confiance des internautes. Le sondage mené par l’IFOP en février 2018 a révélé que 77 % des personnes interrogées pensent que la transparence des entreprises dans l’utilisation des données personnelles entrera à l’avenir dans leurs critères d’achat…
Pour plus d’informations, rendez-vous sur la fiche pratique dédiée, dans notre boîte à outil “Cyber-sécurité”.