E-Commerçant : protégez-vous suffisamment les données personnelles de vos clients ?

Le 1er avril 2021, la CNIL débutera ses contrôles pour s’assurer de la conformité des sites internet avec le Règlement Général sur la Protection des Données (RGPD) et ses recommandations sur l’utilisation des cookies et autres traceurs

📣  Il est donc grand temps pour les commerçants de se mettre en conformité avec cette réglementation. 

ROBIN décrypte pour vous les grands principes assurant la protection des données qui doivent être impérativement suivis lors de la vente en ligne. 🔍

👥  Concrètement, les données personnelles sont toutes les données relatives à une personne identifiée ou identifiable. Il s’agit des données permettant à la fois l’identification directe de la personne (nom et prénom) et l’identification indirecte (numéro client, numéro de téléphone, adresse). 

Les e-commerçants doivent assurer la protection des données personnelles collectées auprès de leur clientèle durant les 3 principales étapes de la vente en ligne. 

 

   📍   Pendant la phase de prospection :

Les e-commerçants ont, aujourd’hui, tout intérêt à se donner de la visibilité sur internet et à se faire connaître des consommateurs. Très fréquemment, les commerçants ont recours à la newsletter et autres prospections par mail pour stimuler leurs ventes. 📧

Ces prospections doivent être faites en conformité avec la protection des données :

  • La personne visée doit être informée et donner son accord pour que ses données, particulièrement son adresse mail, soient collectées à des fins de promotion des offres commerciales ; ✔️
  • Elle doit avoir la possibilité de se désinscrire pour ne plus recevoir les offres commerciales, gratuitement et de manière simple. ❌

💡   A savoir, la CNIL considère que l’utilisation d’une case pré-cochée pour recueillir l’accord du client est illégale.

 

   📍   Pendant la phase de visite du site et de création du compte client

💡    A savoir, l’ouverture d’un site d’e-commerce ne doit plus faire l’objet d’une déclaration auprès de la CNIL depuis l’entrée en vigueur du RGPD. 

L’éditeur du site d’e-commerce, c’est-à-dire le commerçant, doit impérativement respecter plusieurs règles

      👉  Déterminer les finalités précises de la collecte des données.

Le commerçant doit spécifier dans quel but il collecte les données de ses clients. Ce peut être notamment pour assurer la création d’un compte client, le paiement, la livraison, l’envoi de newsletter. 

 

      👉  Fixer une durée de conservation des données personnelles.

En effet, il est interdit de les stocker pour une durée indéterminée. Le commerçant peut seulement conserver ces données pendant une durée strictement nécessaire pour remplir la finalité préalablement déterminée. ⏳

 

      👉  Remplir un registre de traitement.

Ce registre doit récapituler les modalités de la collecte des données comme le type de données collectés, les finalités de la collecte, la durée de conservation. Toutes les entreprises, quelle que soit leur taille ou leur secteur d'activité, doivent tenir ce registre. En cas de contrôle, la CNIL peut demander que ce registre lui soit communiqué. 📌

📣   A savoir, la CNIL a publié un modèle simplifié, utilisable par tous. 

 

      👉  Mettre à jour régulièrement le registre et informer les clients des évolutions.

Il est important de retranscrire tout changement dans les données collectées et/ou des finalités de cette collecte. 📝

 

      👉  Informer ses clients de leurs droits.

Les utilisateurs doivent avoir connaissance qu’ils ont un droit d'accès, de modification et de suppression des données collectées. 

 

Afin d’assurer un suivi de la conformité, il est fortement conseillé aux e-commerçants de nommer un Délégué à la protection des données (DPO).  Ce délégué doit avoir des connaissances particulières en matière de données personnelles, des moyens suffisants pour agir (temps, moyens matériels, accès) et ne pas être en situation de conflit d’intérêt avec une autre fonction dans l’entreprise. 

 

💡   A savoir, tout site d’e-commerce doit donner la possibilité à ses visiteurs de refuser l’activation des divers cookies et traceurs non nécessaires au fonctionnement du site. On appelle traceurs, les fichiers sauvegardant l’activité des visiteurs notamment à des fins de statistiques ou de publicité ciblée. 

La poursuite de la navigation par l’internaute ne vaut plus acceptation de ces traceurs. ❌

🔎   La CNIL donne un exemple de bandeau à afficher dès l’ouverture du site par le visiteur. 

Pour toutes autres questions sur les traceurs, vous pouvez consulter cette FAQ publiée par la CNIL.

 

   📍  Pendant la phase de paiement en ligne

Pour permettre le paiement par le client, le commerçant doit nécessairement collecter

  • le numéro de la carte bancaire ;
  • la date d’expiration ; 
  • le cryptogramme visuel. 

Si le commerçant souhaite conserver les données bancaires de ses clients afin de faciliter leurs prochains achats, il est obligatoire qu’il recueille l’accord de ses clients. Dans ce cas, le client doit également avoir la possibilité de retirer son accord, à tout moment et sans frais, selon une recommandation de la CNIL.

📣   Par exemple, l’accord peut prendre la forme d’une case à cocher au moment de la collecte des données bancaires. 

Dans tous les cas, il est strictement interdit de conserver le cryptogramme visuel une fois le paiement réalisé. 

 

Il est interdit de demander à ses clients de transmettre une copie de leur carte bancaire, peu importe que des éléments soient masqués. 🚫

 

Lors du stockage des données bancaires, la CNIL recommande de mettre en place les mesures de sécurité suivantes

  • Masquer totalement ou partiellement les numéros de la carte bancaire ; 
  • Modifier les numéros de la carte bancaire par d’autres ne permettant pas l’identification ; 
  • Mettre en œuvre un système de traçabilité pour détecter les intrusions et les vols de données bancaires et identifier la personne responsable.  

⚠️  En cas de violation de données, risquant de porter atteinte à la vie privée, il est impératif de prévenir les clients concernés de cette violation et la CNIL dans un délai de 72 heures en utilisant ce service

 


Qui est ROBIN ?

ROBIN est l’interlocuteur juridique disponible 7 jours /7. Nous donnons aux entrepreneurs et aux commerçants la bonne réponse à toutes leurs problématiques. Notre réseau d’avocats experts dans leur domaine sont à votre disposition pour vous répondre.
 
Comment ça marche ?
  • Prenez rendez-vous sur notre agenda en ligne (bouton “Prendre rendez-vous”)
  • Posez votre question en expliquant le contexte.
  • Notre avocat expert vous contactera à la date et l’horaire indiquée dans l’agenda pour répondre à votre question.
Vous avez d’autres questions sur votre activité ? Prenez un rendez-vous gratuitement !

Prendre rendez-vous avec un avocat

 

ROBIN

ROBIN