E-commerce : quelles obligations en matière de données personnelles ?

Le recueil par un site d’e-commerce de données personnelles sur ses clients doit faire l’objet d’une information et être accepté par les internautes.

Si le recueil de données personnelles des utilisateurs est généralement indispensable au fonctionnement d’un site de e-commerce, il n’est pas anodin. Diverses lois et le Règlement européen sur la protection des données (RGPD) fixent les règles à respecter par les e-commerçants.

Mieux vaut s’y conformer : le RGPD prévoit des sanctions allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise. « Au-delà de l’aspect financier et pénal, il y a aussi un risque en termes d’image si un site voit les données de ses clients piratées », rappelle Julie Trolle, juriste chez CTN France, membre de France Défi.

E-commerce : minimiser la récolte de données

Pour respecter ses obligations, l’entreprise qui exploite un site marchand doit d’abord le faire figurer dans son registre de traitements de données. Ce document recense tous les traitements effectués. Le type de données recueillies et l’objectif poursuivi doivent notamment être renseignés.

De manière générale, c’est un principe de minimisation qui doit orienter la collecte de données personnelles.

“Il faut veiller à ne recueillir que ce dont l’entreprise a vraiment besoin et adapter les règles de sécurité en fonction du type de données. Ce n’est pas la même chose de récupérer des noms et des adresses mails ou des données sensibles (origine raciale ou ethnique, convictions religieuses, données de santé…)” – Julie Trolle, juriste

Un consentement renforcé

Le RGPD vise à mieux informer les personnes dont les données sont collectées. Pour un site e-commerce, l’idéal est donc de définir et d’afficher sa politique de confidentialité : expliquer quelles données sont collectées, dans quels buts, quels sont les traitements effectués, combien de temps sont-elles conservées… Les modalités selon lesquelles les internautes peuvent exercer leur droit d’accès, de modification ou de suppression des données sont également à détailler.

Ces informations doivent être portées à la connaissance du client pour chaque opération, de la création d’un compte à la confirmation d’une commande, en passant par l’inscription à une newsletter. « Il faut en faire mention et recueillir le consentement de l’utilisateur par le biais d’une case à cocher », précise la juriste.

Attention aux cookies

L’utilisation de cookies, ces traceurs qui permettent de suivre l’activité des internautes, doit également être portée à la connaissance des visiteurs du site, généralement par le biais d’un bandeau qui s’affiche lors de son chargement. Il faut là encore recueillir l’accord des visiteurs pour utiliser ces traceurs. « Sur ce point, la Commission nationale de l’informatique et des libertés (Cnil) a publié une nouvelle délibération l’été dernier. Elle précise qu’il faut bien recueillir un consentement libre, éclairé, spécifique et univoque des personnes. Le fait de poursuivre la lecture d’une page ou de charger une deuxième page du site ne peut être considéré comme un gage de consentement, ce qui était le cas auparavant », note Julie Trolle.

Sites d’e-commerce : savoir répondre aux internautes

Si la désignation d’un délégué à la protection des données (DPO) n’est obligatoire que dans certains cas, il est toujours recommandé de désigner en interne une personne qui puisse être le relai des éventuelles demandes des utilisateurs du site. « Mieux vaut également mettre en place des procédures afin de savoir comment répondre à une demande de droit d’accès pour laquelle l’entreprise a l’obligation de répondre sous un mois », conseille la spécialiste.

Enfin, il importe de sécuriser au maximum le site de e-commerce afin d’éviter que les données ne soient piratées.