Vente en ligne avec la réglementation RGPD
Si vous vendez des produits ou des services à des acheteurs au sein de l’Union Européenne, une nouvelle réglementation est sur le point de vous concerner. Même si vous opérez d’un autre continent. Si vous ne la respectez pas, vous vous exposez à de lourdes amendes. Et il suffit de peu : utiliser de mauvais cookies sur votre site Internet ou envoyer un e-mail à la mauvaise personne.
Heureusement, les choses ne sont pas aussi compliquées qu’elles paraissent. Découvrez pourquoi dans cet article.
La réglementation générale sur la protection des données (RGPD) entrera en application à partir du 25 mai 2018. Elle vous concerne si :
La nouvelle réglementation vise à protéger les données personnelles des citoyens européens en définissant :
Les amendes pour non-respect de cette réglementation sont très lourdes : soit jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaire annuel, en fonction de la somme la plus importante. Autant dire qu’ignorer la RGPD est une option à risque.
Les choses ne sont néanmoins pas aussi compliquées qu’elles semblent l'être en ce qui concerne les boutiques en ligne, car la réglementation prend en compte le cas des e-commerçants et facilite les choses pour ces derniers.
Tout n’est pas entièrement nouveau dans ce règlement. Des dispositions réglementaires existent déjà. Elles sont désormais renforcées ou mieux adaptées.
Nos passerelles et services en ligne respectent la RGPD afin de vous aider à effectuer la transition.
Les informations qui suivent décrivent la façon de vous serez affecté. Gardez simplement à l’esprit qu’il ne s’agit pas de conseils juridiques. Si vous avez des doutes, demandez impérativement conseil à des professionnels du droit.
C’est parti !
Quelles sont les données protégées par la RGPD ?
La RGPD définit les données comme étant personnelles dès lors qu’elles permettent d’identifier directement ou indirectement un individu. Si vous souhaitez exploiter des données personnelles, vous devez impérativement avoir le consentement de la personne concernée.
Ceci inclut les noms, coordonnées et adresses. Mais également les identifiants, les numéros de cartes de crédit, les cookies de pistage, les images de pistage dans les e-mails et mêmes les adresses IP.
En plus de ces éléments, il existe des catégories spéciales de données personnelles. Comme le sexe, la religion, la couleur des cheveux et des yeux, l’appartenance politique et plus encore. Ces informations sont soumises à davantage de régulations et elles ne peuvent pas être utilisées par les e-Commerçants.
Quelles données êtes-vous autorisé à exploiter ?
Vous pouvez exploiter toutes les données personnelles dont vous avez besoin pour exécuter une commande sans consentement particulier. Car traiter une commande (ou la seule intention d’effectuer une commande, comme une demande de devis par exemple) implique un consentement implicite selon la RGPD.
Cela concerne le nom, l’adresse de livraison, les coordonnées et les informations relatives au paiement.
Il est à noter qu’ici le verbe “ exploiter” est employé pour désigner toutes les choses que vous faites avec les données personnelles. La collecte, la sauvegarde, l’affichage, l’impression ou le traitement automatique. Par exemple, l’approbation d’un paiement ou l’envoi d’un e-mail.
Mais qu’en est-il de l’ajout de clients dans votre listing d’emails ? Cela n’est pas indispensable afin de traiter une commande. Alors est-il toujours possible d’envoyer à l’avenir des offres spéciales et des newsletters à vos clients sans leur consentement explicite ?
Envoyer des e-mails publicitaires à vos clients
Oui, vous le pouvez.
Parce que la RGPD prévoit une autre exception qui est en votre faveur. Tout comme les anciennes règlementations, elle permet d’utiliser les données personnelles que vous collectez pour vos intérêts légitimes (Article 6 f). Et les intérêts légitimes n’exigent pas de consentement.
La RGDP définit clairement le marketing direct comme un “ intérêt légitime ” dans le préambule 47. Donc vous êtes totalement couvert en ce qui concerne les e-mails publicitaires envoyés à vos clients.
Qu’en est-il de la publicité auprès de clients potentiels ?
Tout comme par le passé, vous devez toujours et impérativement demander la permission d’ajouter une personne à une liste de diffusion. Une simple case à cocher comme “ Veuillez m’envoyer des offres spéciales ” peut figurer dans votre formulaire de contact (préambule 32). Assurez-vous qu’elle ne soit pas pré-cochée, car dans ce cas cela ne compte pas.
Ce qui est nouveau c’est que vous devez stocker ce consentement. Cela afin de pouvoir prouver au besoin qu’il a bien été donné par le destinataire.
Livres blancs publicitaires
Si vous diffusez des livres blancs sous forme de pdf, des images ou d'autres cadeaux sur votre site Internet, vous n'aurez pas besoin d'ajouter de case à cocher supplémentaire, mais vous devez indiquer que vous ajouterez l'adresse mail de l'individu à votre liste de diffusion.
Et cela parce que la RGPD exige une action claire et éclairée de la part de la personne qui consulte le site pour indiquer son consentement.
Pour faire cela de manière simple ajoutez simplement le texte approprié à votre téléchargement ou à votre page d'accueil (de préférence directement au-dessus du bouton de téléchargement). Par exemple : “ En téléchargeant ce document vous acceptez de faire partie de notre liste de diffusion. Vous pouvez vous désinscrire à tout moment. ”
Que dois-je faire avec mon ancienne liste de diffusion ?
Vous pouvez continuer à envoyer des messages à vos anciens clients. Vous pouvez toujours envoyer des messages à n'importe quelle personne qui par le passé a accepté de figurer dans votre liste de diffusion.
Il est cependant impératif d’inclure un lien pour se désinscrire de votre liste de diffusion.
Qu'en est-il des cookies ?
Selon la RGPD les cookies sont des données personnelles s'ils permettent d'identifier des utilisateurs en particulier.
Les seuls cookies que ShopFactory et Santu utilisent sont des cookies de session et de panier. Ils ne sont pas concernés ni par la RGPD et ni même par la loi Cookie.
À moins qu'il y ait d'autres scripts sur votre site Internet, vous n'avez pas à afficher d'avertissement concernant les cookies pour les clients de l'UE. (Article 29).
Qu'en est-il de Google Analytics et d'autres scripts ?
Google, Facebook, les services de chat en ligne et d'autres scripts ont recours à des cookies de pistage pour pister et identifier les internautes. Pas seulement sur votre site Internet mais aussi parfois sur Internet en général. Les logiciels d'envoi d'e-mails incluent des images de pistage dans les messages publicitaires.
Selon nous, le recours à des outils d'analyse de trafic rudimentaires tels que Google Analytics ou similaires relève également de l'article 6 (f). Ce qui signifie qu'ils ne nécessitent pas de consentement express. A y regarder de plus près il semblerait même que vous n'ayez plus besoin d'afficher un avertissement concernant les cookies étant donné que ces outils relèvent d'une intention légitime pour les e-Commerçants.Il en va de même pour les cookies des réseaux sociaux dont vous avez besoin pour promouvoir vos produits et vos services. Cependant si vous utilisez des cookies qui collectent des données personnelles telles que définies par le RGPD, alors vous devez en informer les internautes sur votre page confidentialité. Vous devez également permettre aux internautes de désactiver ces cookies.
Nous sommes actuellement en train de mettre à jour ShopFactory pour mettre le logiciel en conformité avec ces exigences. Ceci signifie que ShopFactory proposera automatiquement une option de désactivation des cookies dans la page confidentialité. Il ne vous restera plus qu'à paramétrer vos préférences via la page "Central / Ma boutique" dès que cette version sera disponible.
Nous vous recommandons également d'ajouter l’avertissement suivant sur votre page confidentialité là ou vous précisez que vous avez recours à des cookies et vos raisons. ShopFactory se chargera d'ajouter un bouton désactiver au bas de cette page.
Voici un exemple d'avertissement :
Ce site et nos emails ont recours à des cookies ou des scripts similaires dans un intérêt légitime tel que défini dans l'article 6 du RGPD.
Ceci permet notamment :
• d’exploiter une boutique en ligne
• d'améliorer l’expérience des acheteurs
• d'analyser la fréquentation du site dans le but de l'améliorer
• de proposer des fonctions liées aux réseaux sociaux
• d'obtenir des statistiques de fréquentation à des fins de promotion
• d'analyser l'impact des e-mails à caractère promotionnel
L'approche que nous vous proposons ne fait pas l'unanimité. Par conséquent si votre conseiller juridique vous recommande d’exiger systématiquement le consentement des internautes pour l'utilisation de cookies de suivi, vous pouvez également le mettre en place.
Le droit à l'oubli et le droit de correction des données personnelles
La RGPD confère également aux utilisateurs davantage de droits en ce qui concerne leurs données personnelles. Ils peuvent demander à corriger des données personnelles, et ils ont le droit à l'oubli.
Nous sommes actuellement en train de finaliser une fonction qui vous permettra de mettre à jour les données personnelles si les utilisateurs le demandent, dans vos comptes ShopFactory Cloud ou Santu.
Le droit à l'oubli signifie qu'un client ou une autre personne peut demander que ses données personnelles soient complètement effacées de vos systèmes.
Cependant, ce droit ne s'applique pas lorsque vous devez stocker des données pour des raisons d'imposition ou des raisons légales. Dans la plupart des pays, vous devez stocker les contrats pendant sept ou huit ans, et parfois plus longtemps. Durant cette période le droit à l'oubli ne s'applique pas.
A l’issue de cette période vous pouvez sélectionner les utilisateurs et les commandes qu'ils ont effectuées, et les effacer facilement.
Nous allons également mettre à disposition une fonction qui vous permettra de mettre à jour les commandes en éliminant les données personnelles, une fois que la période officielle de stockage est terminée. Cela vous permettra de conserver les commandes à des fins statistiques, tout en respectant la RGPD.
Sécurité des données
Nous acceptons et traitons des données personnelles en ligne pour vous de façon sécurisée dans le cadre d'un processus de vérification et de gestion des commandes. Nous les cryptons lors des transferts et quand nous les stockons pour vous dans nos bases de données en Europe. On appelle cela le cryptage des données en transit et des données fixes.
Nous effectuons en parallèle des sauvegardes de vos données en permanence de façon sécurisée afin de prévenir toute perte.
Alors si vous stockez vos commandes en ligne chez nous, vous pouvez compter sur nous en ce qui concerne la sécurité des données.
Assurez-vous simplement que vous avez un Accord de Traitement des Données avec nous, et avec vos autres passerelles, comme l'exige la RGPD (plus d'information à ce sujet plus bas).
Sachez également que la RGPD s'applique également à vous si vous collectez physiquement des coordonnées, par exemple un numéro de téléphone, et que vous les notez sur un papier. Ou bien si vous envoyez des courriers publicitaires par la poste. Vous devez vous assurer que votre entreprise protège les données personnelles.
Heureusement, vous n'avez pas besoin d'effectuer une évaluation de l'impact de la sécurisation des données ou de dédier un employé pour cela si vous exploitez une boutique en ligne classique.
Accord de traitement des données
Lorsqu'il s'agit de collecter et de traiter les données personnelles, vous, propriétaire d'une boutique, êtes responsable de ce qui advient de ces données. Cependant, si vous faites appel à nous en tant que sous-traitant pour une partie du traitement, nous devenons l'entité qui traite les données, selon la RGPD.
Cela signifie que la RGPD exige que vous ayez un accord de traitement des données avec nous, ainsi vous pouvez être certain que nous respecterons la RGPD en votre nom.
Cela ne s'applique pas uniquement à nous. Cela s'applique à n'importe quel service que vous utilisez pour traiter des données en votre nom. Par exemple, les moyens de paiement utilisés, les transporteurs et les systèmes de comptabilité en ligne.
Vous pourrez bientôt télécharger notre accord de traitement des données en vous connectant à votre compte ShopFactory Cloud ou Santu, et en vous rendant dans la section " Mon compte ". Contresignez le document et envoyez-le par e-mail, comme décrit dans ce même document, afin de valider l'accord.
Que devez-vous respecter d’autre ?
Une fois que vous avez assuré la sécurisation des données en ligne en utilisant nos services et en acceptant des accords de traitement avec les différentes passerelles que nous proposons, il reste encore des démarches à effectuer.
Cela est dû au fait que la RGPD exige de vous en tant que propriétaire d'une boutique en ligne de documenter les données que vous collectez et de déclarer ce que vous en faites.
Ci-dessous figure un exemple. Assurez-vous simplement de le faire lire à votre conseiller juridique, si vous l'adaptez à vos besoins, car nous ne fournissons pas de conseils juridiques.
Nom de l'entreprise : Cookie Bakers GmbH,
Responsable: Egon Baker, 25 Baker Street, Bakers City, Backhausen, Allemagne
Nous traitons les données personnelles des visiteurs et des clients sur notre site Internet et dans nos e-mails.
Nous collectons et traitons des données personnelles afin de traiter les commandes, y compris les éléments suivants : nom, coordonnées, adresse et informations relatives au paiement. Nous collectons aussi des données via des cookies et d'autres technologies de pistage similaires pour observer le comportement des visiteurs de notre site Internet et dans les e-mails, et cela dans le but d'améliorer l'expérience des visiteurs sur notre site Internet et dans les e-mails, afin de proposer des recommandations personnalisées de produits. Nous utilisons aussi les données personnelles collectées à des fins commerciales.
Nous utilisons Santu Pty Ltd pour collecter les données des clients en notre nom. Nous utilisons PayPal pour le traitement des paiements en notre nom. Nous utilisons la société de transport XYZ pour l’acheminement des produits en notre nom. Nous utilisons Google Analytics pour suivre les visites effectuées sur notre site Internet. Nous utilisons Monkeymail pour l'envoi et le pistage des e-mails publicitaires.
Les données personnelles sont stockées pendant 10 ans, en accord avec la règlementation en vigueur.
Si vous détectez une brèche de sécurité qui a exposé vos données personnelles, nous contacterons dans les 72 heures notre autorité de surveillance, soit : nom de l'autorité de surveillance et coordonnées.
Les individus victimes d'une brèche de sécurité seront également informés immédiatement via l'adresse mail qu'ils ont fourni lors de leur inscription.
Votre politique de confidentialité
Assurez-vous de mettre à jour les conditions d'utilisation de votre site Internet afin de respecter la RGPD. Cependant cela n'est pas expliqué en détails dans cet article.
Mais vous trouverez de bons générateurs en ligne qui fournissent des politiques de confidentialité qui respectent la RGPD, comme, par exemple ici : https://goo.gl/piu79B.
Respect de la RGPD - ShopFactory 12 et ShopFactory Cloud
Nous avons déjà effectué beaucoup de travail afin de vous aider à respecter la RGPD.
Les modifications pour vous permettre d'utiliser des cookies de pistage et d'autres scripts sur votre site Internet seront incluses dans ShopFactory 12 pour l'entrée en vigueur du RGPD. En stockant vos commandes dans ShopFactory Cloud vous pouvez accéder à des accords et à un traitement des données qui respectent la RGPD en ligne.
Si vous n'avez pas encore téléchargé ShopFactory 12, nous vous recommandons vivement de le faire dès que possible. Vous pouvez tout à fait faire cohabiter ShopFactory 12 sur le même ordinateur que vous utilisiez avec votre version antérieure. Vous pourrez importer votre boutique actuelle et continuer à travailler sur votre boutique avec ce programme. ShopFactory Cloud est inclus gratuitement la première année, si vous effectuez un paiement annuel.
Veuillez nous contacter si vous avez des questions ou si vous souhaitez obtenir davantage d'informations.
** Le paragraphe concernant Google Analytics et les autres scripts a été modifié pour une mise à jour et une meilleure retranscription de ces nouvelles exigences.